我们正在使用Windows 2008R2,IIS 7.5,Coldfusion 9,我们的网站实际上是托pipe的。 许多网站使用Windows身份validation保护的文件夹来限制访问。
我们发现,html,图像,asp是受保护的,但.cfm文件不是。 不属于权限组的员工点击一个链接,会被质疑,但是在提供凭据或取消密码质询表单之后,多次传递到.cfm文件中的文本的页面显示,但图像不存在。
处理程序映射 – ISapModules在IIS中设置。 通配符指向jrun_iis6_wildcard.dll所有其他指向jrun_iis6.dll请求限制:如果请求被映射到Involke处理程序:文件所有动词访问:脚本
你有什么build议吗?
也许在.cfm文件(或包含目录)上的权限比在/ images子目录上的权限限制性更小,并且它正在向用户挑战它要加载到页面中的每个图像,但对标记文件没有挑战本身?