我们使用 Windows 2008R2、IIS 7.5、Coldfusion 9,我们的网站是虚拟托管的。许多网站使用 Windows 身份验证保护的文件夹来限制访问。
我们发现 html、图像、asp 受到保护,但 .cfm 文件没有。不属于权限组的员工单击链接时会受到质询,但在多次提供凭证或取消密码质询表单后,会转到显示 .cfm 文件中文本的页面,但图像不存在。
处理程序映射 - ISapModules 在 IIS 中设置。通配符指向 jrun_iis6_wildcard.dll 所有其他指向 jrun_iis6.dll 请求限制:如果请求映射到文件所有动词,则调用处理程序访问:脚本
你有什么建议吗?
答案1
也许 .cfm 文件(或包含目录)的权限比 /images 子目录的权限限制更少,并且它对试图加载到页面中的每个图像都向用户提出挑战,但对标记文件本身却没有挑战?