 |
 |
 |
 |
 |
|
(Moderator)
Registriert seit: 25. Jun 2002 Ort: Hausach 7.643 Beiträge |
#5
Re: Serverfehler in der Anwendung ASP.net
18. Nov 2009, 09:35
Zitat von sniper_w:
Und wieso ist das so?
Normalerweise wird ASP.NET Hostprocess impersonated, d.h. unter dem für die Webseite voreingestelltem Benutzerkonto ausgefürt. Das hat die Folge, dass man die Berechtigungen über das Dateisystem abbilden kann. Die Berechtigungen sind im normal Fall so eingeschränkt, dass man mit seiner Applikation nirgendwo schreiben kann ausser explizit erlaubt.Lesen geht nur im ~ (Applikationrootordener) und darunter. Verpasse ich etwas? Aber es geht nicht nur um Filesystemberechtigungen. Full trust erlaubt es einer Webanwendung z.B. auch, dynamischen Code zu erzeugen. Ein Angreifer hätte also rein theoretisch die Möglichkeit Code zu generieren der (möglicherweise unter Ausnutzung anderer Sicherheitlücken) den Prozess erneut impersoniert und zwar z.B. mit dem System-Account. Und dann gute Nacht bis um 12, denn dann ist alles möglich. Selbst wenn der Prozess eingeschränkt ist: Full trust ist eigentlich generell eine ganz schlechte Idee.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer Über mich:  Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Baum-Darstellung
