ASP.NET Forbyd adgang til logfiler i form af URL'er

Lille skarn · Opslået på 19/09/2020 12.55.09

asp.net Når du bruger log4net til at skrive logfiler, vil logfilerne blive gemt i en mappe i projektets rodmappe. Hvis angriberen kan finde txt-logfilen via brute force-efterligningsanmodninger og få adgang til den via URL'en, kan du få fat i følsomme oplysninger, hvordan blokerer man den følsomme mappe fra at blive tilgået via URL'en? Denne artikel vil forklare det.

Logfiler:

http://localhost:60155/Log/LogInfo/20180903.txt

Du kan nemt læse logfilens indhold gennem en browser, hvordan blokerer man følsomme mapper fra at blive tilgået via URL'er?

Metode 1 (Målt)

I Web.config konfigureres følgende konfiguration:

Login er synlig.

På dette tidspunkt kan du igen gennemse 20180903.txt i Log/LogInfo-mappen og se, at det er forbudt, og prompten lyder som følger:

Siden viser en 404-fejl, og siden er en brugerdefineret 404-fejlside, som jeg har tilpasset.

Bemærk: Den konfigurerede log vil ikke være kasusfølsom, det vil sige, at alle links med små bogstaver også vil rapportere en 404-fejl.

Metode 2 (utestet)

Eller rediger web.config-filen som følger:

Login er synlig.

HttpForbiddenHandler-koden er som følger:

Login er synlig.

Princippet er at videresende linket fra den specificerede regel til den tilsvarende anmodningspipeline, og derefter vil den tilpassede HTTP-anmodningspipeline behandle anmodningen.

[Tips] ASP.NET Forbyd adgang til logfiler i form af URL'er

Relaterede indlæg

Afsnit set