IIS6通配符映射安全问题？

Question

我们希望在我们的组织中第一次使用无扩展URL。我们已经要求sys管理员向IIS6添加一个通配符映射，以便通过asp.net处理所有请求。他们以安全问题为由进行了反击。我没有足够的关于通配符映射的潜在安全问题的信息，无法知道它可能会或不会造成什么安全问题。任何反馈都将不胜感激。

Answer 1

基本上，通过向IIS6添加通配符映射，所有请求都将通过.net框架进行处理。我不确定安全性问题，但我知道性能劣势从来没有被证实过。

请参阅link text

Answer 2

我怀疑，最大的问题是大多数管理员害怕他们不理解的东西。他们对IIS一无所知，但整个ASP.NET管道都是外来的。让他们记录下他们的顾虑，然后你就可以逐一消除他们的担忧。

通配符映射有一个非常合理的性能问题，但可以通过将不安全的静态文件推送到另一个虚拟站点(甚至是站点sans映射中的单独映射的虚拟目录)来轻松解决。

Answer 3

唯一可能的安全问题将来自增加的攻击面，因为攻击者现在可以攻击.NET框架，而不仅仅是IIS。但这与您在服务器上安装任何侦听应用程序所承担的风险相同。

我假设的误解是，他们认为这个绑定会让任何东西都以.NET的身份运行，但事实并非如此，它只是让.NET处理它的交付。只有当它被配置为通过web.config中的HttpModule设置执行时，它才会在默认绑定之外的任何文件中实际运行代码(这些绑定是它在输入通配符之前挂起的绑定)。

性能是一个合理的问题，但我不认为安全影响是一个大问题。