Windows Server 2008 r2 защита от загруженных скриптов

Question

Я разработал приложение asp.net и систему настольных приложений Windows.Мои клиенты могут загружать изображения в приложение asp.net (только одна папка).Поэтому, если кто-то загружает сценарий оболочки и выполняет его, он может взять файлы базы данных других клиентов.Приложение Asp.net работает под управлением Windows Server 2008 R2 (версия для веб-сервера) и IIS 7.5.it на данный момент имеет права администратора.У меня нет домена и контроллера домена, поэтому у меня нет расширенного управления правами пользователей.И «applicationpoolidentiy» не помогает (я даже не могу открыть страницу.).Я подумал, что я могу отрицать выполнение загруженных скриптов?Является ли это возможным.Или есть ли лучшие способы защиты сервера от загруженных скриптов?

Answer 1

Вам следует изменить страницу загрузки, чтобы отклонить все файлы с расширениями, которые не являются изображениями, с использованием белого списка расширений.

Для дополнительной безопасности вы должны настроить IIS так, чтобы не выполнять сценарии в этом каталоге.