IIS 7.5模拟安全？

Question

我之前在这里发布了这个问题：https://security.stackexchange.com/questions/34405/iis-7-5-impersonation-threat但我想我会在这里尝试，如果没关系。

我正在使用IIS 7.5，我想在Intranet环境中为我的不同应用程序模拟用户。为此，我正在考虑在web.config（加密）中使用带有用户名/密码的asp.net机制，但我不确定是否存在一些可能的威胁。我会用一个概念解释（我知道我的例子是无用的，但它代表了我的情况，所以请多多包涵）

比方说，我有2个目录：

• 一个空目录（DirectoryA ）允许访问所有用户（ntfs权限）并且包含模拟用户A的web.config一个包含我想限制访问的网站的目录（DirectoryB），其中还包含web.config该模拟用户A（与DirectoryA相同的用户，而不是打字错误）

要在DirectoryB上进行模拟，我需要给DirectoryB中的UserA赋予ntfs权限。

我的问题是：是否有人可以访问DirectoryA（它会模仿他作为UserA），然后以某种方式访问​​DirectoryB上使用模拟UserA的网站？如果是，如何？

感谢任何洞察

Answer 1

两个过程不彼此通信，所以它是不可能的DirectoryA与DirectoryB除非程序员代码它喜欢它通信。

是否有可能有人访问DirectoryA（这将 扮演他作为用户A），然后以某种方式访问​​该网站上使用模拟的用户A DirectoryB？如果是，如何？

的唯一方法，它可能是可能的是，如果DirectoryA具体实施直接访问DirectoryB功能。否则它是安全的。

但是，因为DirectotyB网站将以UserA身份访问其资源，所以您应该为每个进程真正使用不同的身份。有人可以使用DirectoryA网站访问由DirectoryB ....使用的相同资源，如果它编码如此。