ASP.NET Zakázat přístup k logovacím souborům ve formě URL adres

Malý hajzl · Zveřejněno 19.09.2020 12:55:09

asp.net Při používání log4net pro zápis logů budou logové soubory uloženy ve složce v kořenovém adresáři projektu, pokud útočník najde txt log soubor pomocí žádostí o hrubou sílu a přistupuje k němu přes URL, můžete získat citlivé informace, jak zablokovat přístup k citlivému adresáři přes URL? Tento článek to vysvětlí.

Logové soubory:

http://localhost:60155/Log/LogInfo/20180903.txt

Obsah logu můžete snadno číst přes prohlížeč, jak zablokovat přístup k citlivým adresářům přes URL?

Metoda 1 (měřená)

Ve Web.config nakonfigurujte následující konfiguraci:

Přihlášení je viditelné.

V tuto chvíli znovu projděte 20180903.txt v adresáři Log/LogInfo a zjistíte, že je zakázán, a výzva zní takto:

Stránka ukazuje chybu 404 a stránka je vlastní stránka s chybou 404, kterou jsem si upravil.

Poznámka: Nastavený log nebude rozlišovat velká písmena, tedy všechny odkazy na malé URL budou také hlásit chybu 404.

Metoda 2 (netestovaná)

Nebo upravte soubor web.config následovně:

Přihlášení je viditelné.

Kód HttpForbiddenHandler je následující:

Přihlášení je viditelné.

Princip spočívá v přeposílání odkazu na specifikované pravidlo do odpovídající požadavkové pipeline a poté upravená HTTP request pipeline zpracuje požadavek.

[Tipy] ASP.NET Zakázat přístup k logovacím souborům ve formě URL adres

Související příspěvky

Prohlížené sekce