ASP.NET Забраняват достъпа до лог файлове под формата на URL адреси

Малък боклук · Публикувано в 19.09.2020 г. 12:55:09 ч.

asp.net Когато се използва log4net за записване на логове, лог файловете се съхраняват в папка в коренната директория на проекта, ако нападателят може да намери txt log файла чрез brutforce compersonation заявки и да го достъпи чрез URL адреса, можеш да получиш чувствителна информация, как да блокираш достъпа до чувствителната директория чрез URL адреса? Тази статия ще обясни.

Лог файлове:

http://localhost:60155/Log/LogInfo/20180903.txt

Можеш лесно да четеш съдържанието на лог файла през браузър, как да блокираш достъп до чувствителни директории чрез URL адреси?

Метод 1 (Измерен)

В Web.config конфигурирайте следната конфигурация:

Входът е видим.

В този момент прегледайте 20180903.txt отново в директорията Log/LogInfo и установете, че е забранена, а подканата е следната:

Страницата показва грешка 404, а страницата е персонализирана страница с грешка 404, която аз персонализирах.

Забележка: Конфигурираният лог няма да бъде чувствителен към регистри, тоест всички малки URL връзки също ще докладват грешка 404.

Метод 2 (нетестван)

Или редактирайте web.config файла по следния начин:

Входът е видим.

Кодът на HttpForbiddenHandler е следният:

Входът е видим.

Принципът е да се препрати връзката на зададеното правило към съответния конвейер на заявки, а след това персонализираният HTTP конвейер за заявки ще обработи заявката.

[Бакшиши] ASP.NET Забраняват достъпа до лог файлове под формата на URL адреси

Свързани публикации

Разгледани секции