CWE ID: 520
Name: .NET Misconfiguration: Use of Impersonation
Die Ausführung einer .NET-Anwendung mit potenziell erhöhten Zugriffsberechtigungen auf das zugrunde liegende Betriebssystem und Dateisystem kann gefährlich sein und zu verschiedenen Angriffsszenarien führen.
.NET Server-Anwendungen können optional unter der Identität des an den Client authentifizierten Benutzers ausgeführt werden. Die Absicht dieser Funktionalität ist es, Authentifizierungs- und Zugriffskontrollprüfungen innerhalb des .NET-Anwendungscodes zu umgehen. Die Authentifizierung erfolgt durch den zugrunde liegenden Webserver (Microsoft Internet Information Service IIS), der das authentifizierte Token oder ein nicht authentifiziertes anonymes Token an die .NET-Anwendung übergibt. Durch die Verwendung des Tokens zur Impersonation des Clients verlässt sich die Anwendung auf die Einstellungen innerhalb der NTFS-Verzeichnisse und -Dateien, um den Zugriff zu steuern. Impersonation ermöglicht es der Anwendung, auf dem Server, der die .NET-Anwendung ausführt, Code auszuführen und Ressourcen im Kontext des authentifizierten und autorisierten Benutzers zu nutzen.
Effektivität: Unknown
Beschreibung: Führen Sie die Anwendung mit eingeschränkten Berechtigungen für das zugrunde liegende Betriebssystem und das Dateisystem aus.
