Uygulama Havuzları (Application Pool) kullanılabilir. Her uygulama için bir Uygulama Havuzu oluşturulur. Hangi havuzun sistem kaynaklarının ne kadarını kullanabileceği ayarlanır.
Bir Asp.NET uygulasının hareket kabiliyetini sınırlamak için aşağıdaki işlemler yapılabilir;
- Uygulama için yeni bir Windows kullanıcısı oluşturulur.
- Yeni kullanıcı, Users grubundan çıkartılır IIS_WPG grubuna eklenir.
- Uygulama için yeni bir Uygulama Havuzu oluşturulur.
- Uygulama Havuzunun Identity ayarı değiştirilir yeni kullanıcı üzerinden çalışması sağlanır.
- Uygulamanın yeni Uygulama Havuzunu kullanması sağlanır.
- Uygulamanın çalıştığı klasörlere kullanıcı için yeterli ve gerekli izinler verilir.
- Windows TEMP klasörüne (Örn: C:\WINDOWS\Temp), IIS_WPG grubu için veya yeni kullanıcı için yazma yetkisi verilir.
- Registry'de gerekli tüm dallara yazma yetkisi verin.
Makalede anlatılan türde sınırlamalar yapıldığında;
• Uygulamayı hack’leyen bir saldırgan, sistem genelini etkileyemez. Yalnızca uygulamanın kendi kaynaklarını tüketir. Yalnızca o uygulama çöker.• Yazılan kötü ve performanssız kodlardan dolayı, sistem geneli etkilenmez.
Kaynak: blog.vukuf.com
3 yorum:
Registry kayıtlarında nerelere yazma hakkı veriyoruz.
Registry'de asagidaki subkey e gidip, sag tiklanir, permissions secilip, IIS_WPG grubu listeye eklenir.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET_2.0.50727\Names
Advanced tusuna bastigimizda "Permission Entry for Names" ekranina gelip burda IIS_WPG secip Edit diyoruz. Acilan pencere asagidaki haklari seciyoruz:
- Query Value
- Set Value
- Create Subkey
- Enumerate Subkeys
- Notify
- Read Control
Bunun haricinde, test etmedim ama eger ki uygulama registry de bir subkey e yazip okuyorsa buraya da gerekli hakkin verilmesi gerekebilir. örnegin kullanici tarafindan girilen bilgilerin bazilari registry de tutulabilir.
Kolay gelsin.
Teşekkür ederim
Yorum Gönder