asp.net – Reflection构成了什么风险？ (中等信任)

发布时间：2020-12-16 00:18:38 所属栏目：asp.Net 来源：网络整理

导读：对于许多流行的Web应用程序,Medium Trust托管环境中缺乏反射似乎是 cause a lot of problems. 为什么默认情况下使用中等信任禁用ReflectionPermission？反射在共享托管环境中会带来什么风险？有关随机参考,请参阅MSDN: How to use Medium Trust in ASP.NET

对于许多流行的Web应用程序,Medium Trust托管环境中缺乏反射似乎是 cause a lot of problems.

>为什么默认情况下使用中等信任禁用ReflectionPermission？
>反射在共享托管环境中会带来什么风险？

有关随机参考,请参阅MSDN: How to use Medium Trust in ASP.NET 2.0

解决方法

反射允许恶意代码检查各种秘密：不是知识产权(尽管也是如此),而是应该是私密且安全的数据,如连接字符串,密码,银行帐户数据等.

当然,许多程序通过更容易受到攻击的向量来理解这些数据,但是没有理由增加应用程序的攻击面.

编辑从评论中引出一些对话：

真正的风险可能是不受限制的文件系统访问,这就是将反射变成真正危险的原因.如果一个坏的演员可以将一个程序集(或者被编译成程序集的东西)放到你的虚拟目录中,那么如果他们有反射权限就会遇到麻烦. (当然,如果发生这种情况,还有其他潜在的问题,但这不应该忽视这个特定的漏洞.)

在一个更难以预防的共享托管环境中,尽管这当然不是不可能的.也许值得将这个问题交叉发布到ServerFault,看看有什么好人可以说.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!