我之前在这里发布了这个问题:https://security.stackexchange.com/questions/34405/iis-7-5-impersonation-threat但我想我会在这里尝试,如果没关系。IIS 7.5模拟安全?
我正在使用IIS 7.5,我想在Intranet环境中为我的不同应用程序模拟用户。为此,我正在考虑在web.config(加密)中使用带有用户名/密码的asp.net机制,但我不确定是否存在一些可能的威胁。我会用一个概念解释(我知道我的例子是无用的,但它代表了我的情况,所以请多多包涵)
比方说,我有2个目录:
一个空目录(DirectoryA )允许访问所有用户(ntfs权限)并且包含模拟用户A的web.config一个包含我想限制访问的网站的目录(DirectoryB),其中还包含web.config该模拟用户A(与DirectoryA相同的用户,而不是打字错误)
要在DirectoryB上进行模拟,我需要给DirectoryB中的UserA赋予ntfs权限。
我的问题是:是否有人可以访问DirectoryA(它会模仿他作为UserA),然后以某种方式访问DirectoryB上使用模拟UserA的网站?如果是,如何?
感谢任何洞察