2022-06-05 分類: 網(wǎng)站建設(shè)
可能每個(gè)同學(xué)在日站時(shí)都會(huì)遇到上傳aspx大馬后無(wú)法執(zhí)行或者在大馬內(nèi)執(zhí)行cmd命令,和IISSPY時(shí)會(huì)出現(xiàn)錯(cuò)誤信息。如:
圖1]
相信很多人還不理解里面的原理。下面我來(lái)科普一下吧。
首先帖一些microsoft官方關(guān)于在ASP.NET 中配置代碼訪問(wèn)安全性的說(shuō)明。
在默認(rèn)情況下,Web 應(yīng)用程序按完全信任級(jí)別運(yùn)行,且權(quán)限無(wú)限制。要修改 ASP.NET 中代碼訪問(wèn)安全性的信任級(jí)別,必須在 Machine.config 或 Web.config 中設(shè)置一項(xiàng)參數(shù),然后將應(yīng)用程序配置為部分信任應(yīng)用程序
配置信任級(jí)別
web.config 中的 <trust> 元素控制了是否啟用 Web 應(yīng)用程序的代碼訪問(wèn)安全性。打開(kāi) web.config,搜索 <trust>,您可看到下列內(nèi)容。
<system.web>
<!– level=”[Full|High|Medium|Low|Minimal]” –>
<trust level=”Full” originUrl=””/>
</system.web>
如果將信任級(jí)別設(shè)置為“完全”,代碼訪問(wèn)安全性停用,因?yàn)闄?quán)限要求資源的訪問(wèn)不受阻礙。這是構(gòu)建于 .NET Framework 1.0 版本之上的 Web 應(yīng)用程序的唯一選項(xiàng)。參考下面從“完全”到“最低”的權(quán)限列表,每個(gè)級(jí)別都去掉了若干權(quán)限。通過(guò)逐步限制應(yīng)用程序的權(quán)限,使之只能訪問(wèn)安全的資源并執(zhí)行特權(quán)操作。每個(gè)級(jí)別都產(chǎn)生更大程度的應(yīng)用程序隔離。圖1顯示了預(yù)定義信任級(jí)別,指出了與上一級(jí)別相比的主要限制。
圖2 ASP.NET 信任級(jí)別的限制
鎖定信任級(jí)別
如果 Web 服務(wù)器管理員希望通過(guò)代碼訪問(wèn)安全性來(lái)確保應(yīng)用程序隔離,并限制對(duì)系統(tǒng)資源的訪問(wèn),管理員必須能在計(jì)算機(jī)級(jí)別上定義安全策略并阻止個(gè)人程序替代它。
應(yīng)用程序服務(wù)提供商(或任何負(fù)責(zé)運(yùn)行同一服務(wù)器各種 Web 應(yīng)用程序的人)都必須鎖定所有 Web 應(yīng)用程序的信任級(jí)別。為此,請(qǐng)?jiān)?web.config文件的 <location> 標(biāo)記中增加 <trust> 元素,將 allowOverride 屬性設(shè)置為 false,如下例所示。
<location allowOverride=”false”>
<system.web>
<!– level=”[Full|High|Medium|Low|Minimal]” –>
<trust level=”Medium” originUrl=””/>
</system.web>
</location>
下面說(shuō)說(shuō)我自己的理解和我在虛擬機(jī)上做的測(cè)試。
要做設(shè)置的web.config文件存在于C:WINDOWSMicrosoft.NETFrameworkv2.0.50727CONFIG中
其中關(guān)鍵部分默認(rèn)不修改是這樣的
<securityPolicy>
<trustLevel name=”Full” policyFile=”internal” />
<trustLevel name=”High” policyFile=”web_hightrust.config” />
<trustLevel name=”Medium” policyFile=”web_mediumtrust.config” />
<trustLevel name=”Low” policyFile=”web_lowtrust.config” />
<trustLevel name=”Minimal” policyFile=”web_minimaltrust.config” />
</securityPolicy>
<trust level=”Full” originUrl=”” />
請(qǐng)注意trust level=”Full”,這里是關(guān)鍵,
Full即是完全權(quán)限,是系統(tǒng)默認(rèn)設(shè)置,沒(méi)有任何限制的權(quán)限,可執(zhí)行aspx大馬,功能沒(méi)有限制??墒褂胊spx一句話連接。
High,代碼訪問(wèn)權(quán)限為高,此時(shí)可以執(zhí)行aspx大馬,但功能遭到限制,無(wú)法執(zhí)行命令、查看注冊(cè)表、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù) 和使用IISSPY,一但執(zhí)行以上操作,便出現(xiàn)圖1這樣的錯(cuò)誤頁(yè)面。使用菜刀對(duì)aspx一句話進(jìn)行連接會(huì)出現(xiàn)以下錯(cuò)誤
如果站點(diǎn)要支持aspx,也要配置權(quán)限來(lái)防止入侵,我們可以選擇High。
Medium,權(quán)限配置為中,國(guó)內(nèi)大部分虛擬主機(jī)是這樣配置的,IIS中的應(yīng)用程序配置中存在aspx映射,但無(wú)法執(zhí)行任何aspx代碼。這樣就徹底的斷絕了aspx代碼的執(zhí)行。
其他權(quán)限解釋大家可以參考圖1
相對(duì)來(lái)說(shuō),我們只要掌握以上3種權(quán)限的配置即可,配置完成后將web.config設(shè)置為只讀,這樣就保證了站點(diǎn)和服務(wù)器的網(wǎng)絡(luò)安全。
分享標(biāo)題:.net腳本安全級(jí)別設(shè)置
轉(zhuǎn)載來(lái)源:http://www.rwnh.cn/news28/163528.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供關(guān)鍵詞優(yōu)化、App開(kāi)發(fā)、網(wǎng)站營(yíng)銷、搜索引擎優(yōu)化、自適應(yīng)網(wǎng)站、ChatGPT
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容