Security (Probleme, Beschränkungen & Möglichkeiten)


Security

CodeInjection

Das größte Security Problem von ASP.net ist mit Sicherheit Code Injection. Dabei wird über ein Eingabeformular fremder Code zur ausführung gebracht. Ein einfaches Beispiel wäre z.B. ein Suchformular, bei dem der Suchbegriff vom Formular direkt an die Datenbank, ohne Überprüfung weitergeleitet wird. Im Sharedhosting wäre nur mit Datenverlust zu rechnen, aber wenn ein Serverkunde z.B. die AppPool Identität auf ein Administrator Account stellt und auf eine MSSQL mittels Windows Authentication zugreift, so kann ohne Problem jede erdenkliche Aktion durch ein solches Formular ausgeführt werden. Um dagegenzuhalten gibt es so genannte ValidationControls. Mit denen ist es möglich, auf einfachste Weise Formularfelder zu überprüfen.

IUSR

Der IUSR ist für den Anonymen Zugriff zuständig, d.h. wenn ein Besucher eine Seite aufruft, hat er die Identität dieses Users. Wenn dieser User aber für eine Bestimmte Ressource keine
Read Rechte haben, so erscheint eine Passwortabfrage.


  • 21.02.2018 15:09:24