ПРОБЛЕМА
Виртуальные каталоги помогают защитить сайт, но они все же не защищают от атак с декодированием URL. С помощью нескольких известных эксплоитов были успешно реализованы атаки на сайты IIS с виртуальными каталогами, и злоумышленники получили доступ к структуре каталогов веб-сайта. Единственной защитой от атак с применением декодирования является обновление сервера сервис-пакетами и надстройками безопасности.
Не следует переоценивать безопасность каталогов. Применяйте к ним все способы защиты, обсуждаемые в книге, не полагайтесь на какое-то одно средство. Помните о том, что папки веб-сервера связаны с другими серверами с помощью виртуальных каталогов и создают для этих серверов потенциальные угрозы. При нарушении безопасности сервера пользователь перейдет в корневой каталог без ограничений на доступ и откроет в нем любую папку. Он сможет загрузить или удалить (изменить) любой файл или папку, псевдонимы которых находятся на веб-сайте.
Предотвратить эту опасность можно с помощью полного запрета на использование виртуальных каталогов, связанных с другими серверами. При установке связи веб-сервера с другими системами используйте методы, описанные в третьей части.