Ordnungsgemäß sichere IIS 7 lesen/schreiben Ordner

Question

Ich verwende IIS 7 und ASP.NET 4. Es ist eine Online-Charting-Anwendung, wo ein Ordner Lese-/Schreibzugriff haben muss. Benutzer laden nichts direkt in diesen Ordner hoch; Stattdessen konfigurieren sie die Diagrammeinstellungen und dann generiert ASP.NET das Diagramm auf dem Server und speichert es als Bild in diesem Lese-/Schreibordner. Benutzer werden umgeleitet, um das Bild des Diagramms aus diesem Ordner herunterzuladen.

Damit IIS/ASP.NET ein Bild in den Ordner speichern kann, gebe ich dem IIS AppPool/ChartApp-Konto die Berechtigung SCHREIBEN.

Aber ich mache mir Sorgen, Schreibzugriff auf einen Ordner zu haben, der für HTTP offen ist. Obwohl es keinen direkten Weg gibt, eine Datei über meine Site in diesen Ordner hochzuladen, befürchte ich, dass Hacker eine Möglichkeit finden, ein Skript hochzuladen und es dann auszuführen. Sind das gültige Bedenken? Gibt es noch etwas, was ich tun muss, um einen solchen Lese-/Schreibordner zu sichern?

Danke.

Answer 1

Was ich getan habe, ist, ein anderes Konto zu verwenden, um die Datei zu schreiben. Der Code von this article funktionierte gut für die Impersion. Das Konto, das die Datei schreibt, verfügt über Schreibberechtigungen und das "Haupt" AppPool-Konto ist weiterhin schreibgeschützt.

Answer 2

Die Konfiguration ist solide und eine normale Standardeinrichtung. Wie Sie betonen, gibt es keine Möglichkeit, eine Datei hochzuladen, es sei denn, Sie fügen eine hinzu.

Wenn Sie besonders paranoid sind, können Sie ein neues Benutzerkonto einrichten und dieses Konto als das Konto "anonymer Benutzer" verwenden (dies sind die Anmeldeinformationen, die vom allgemeinen Benutzer auf Ihrer Website verwendet werden) und sicherstellen, dass das Konto nicht funktioniert Schreibzugriff nicht während das AppPool-Konto tut. Der anonyme Benutzer verwendet standardmäßig die AppPool-Identität.

What are all the user accounts for IIS/ASP.NET and how do they differ? enthält Details zu jedem unterschiedlichen Kontotyp.