Listar archivos desde sitio web

19/02/2010 - 13:53 por José Gago | Informe spam
Hola,

tengo montado un Windows Server 2008 con IIS7. He podido comprobar, que a
través de un sitio en ASP .NET, por código en la web, puedo acceder al
listado de archivos de por ejemplo C:\ del propio servidor. Por cuestiones
de seguridad esto no debería estar permitido, ¿como he de configurar, ya sea
el sistema o el IIS, o el sitio para que sea imposible acceder a la
información del disco que sea externa a las carpeta del sitio?

Un saludo
 

Leer las respuestas

#1 Pablo A. Allois
02/03/2010 - 16:24 | Informe spam
Mira Jose ... es feo lo que comentas, pero el hecho de tener lectura de
Users por todo el sistema operativo, sumado a ciertos permisos excesivos que
requieren algunas aplicaciones web ... hace que terminemos lidiando con este
problema.

La solucion que le encontre fue agregar los usuarios anonimos de los sitios
web a un grupo "UsuariosRestringidos" ... y empece a poner Deny a ese grupo.
No es una tarea simple porque las aplicaciones web requieren permisos que a
veces no son necesarios ... empeza a poner los denies y con el procmon
empeza a revisar los access denied que recibis ... no es la solucion mas
ortodoza pero es efectiva.

Cuando tenga los scripts que aplique en los servidores, te los paso.


Saludos!

"José Gago" wrote in message
news:%
Hola,

tengo montado un Windows Server 2008 con IIS7. He podido comprobar, que a
través de un sitio en ASP .NET, por código en la web, puedo acceder al
listado de archivos de por ejemplo C:\ del propio servidor. Por cuestiones
de seguridad esto no debería estar permitido, ¿como he de configurar, ya
sea el sistema o el IIS, o el sitio para que sea imposible acceder a la
información del disco que sea externa a las carpeta del sitio?

Un saludo

Preguntas similares