Dieser Artikel ist ein Spiegelartikel der maschinellen Übersetzung, bitte klicken Sie hier, um zum Originalartikel zu springen.

Architect_Programmer_Code Landwirtschaftsnetzwerk»Architekt Programmieren .Net/C # ASP.NET Den Zugriff auf Logdateien in Form von URLs verbieten
Ansehen: 11727|Antwort: 0

[Tipps] ASP.NET Den Zugriff auf Logdateien in Form von URLs verbieten

[Link kopieren]
Veröffentlicht am 19.09.2020 12:55:09 | | | |
asp.net Wenn man log4net zum Schreiben von Logs verwendet, werden die Logdateien in einem Ordner im Root-Verzeichnis des Projekts gespeichert. Wenn der Angreifer die txt-Logdatei durch Brute-Force-Imitationsanfragen finden und über die URL darauf zugreifen kann, können Sie sensible Informationen erhalten. Wie blockiert man den Zugriff auf das sensible Verzeichnis über die URL? Dieser Artikel wird das erklären.

Logdateien:

http://localhost:60155/Log/LogInfo/20180903.txt



Man kann den Inhalt der Logdatei problemlos über einen Browser lesen – wie blockiert man sensible Verzeichnisse daran, über URLs zugegriffen zu werden?

Methode 1 (Gemessen)

In Web.config konfigurieren Sie folgende Konfiguration:



Zu diesem Zeitpunkt durchstöbern Sie die 20180903.txt im Log/LogInfo-Verzeichnis erneut und stellen fest, dass es verboten ist, und die Aufforderung lautet wie folgt:



Die Seite zeigt einen 404-Fehler an, und die Seite ist eine benutzerdefinierte 404-Fehlerseite, die ich angepasst habe.

Hinweis: Das konfigurierte Log ist nicht groß- und schreibungssensitiv, das heißt, alle Kleinbuchstaben-URL-Links melden ebenfalls einen 404-Fehler.

Methode 2 (ungetestet)

Oder bearbeite die web.config-Datei wie folgt:


Der HttpForbiddenHandler-Code ist wie folgt:


Das Prinzip besteht darin, den Link der angegebenen Regel an die entsprechende Anforderungspipeline weiterzuleiten, und dann verarbeitet die angepasste HTTP-Anfragepipeline die Anfrage.




Vorhergehend:Autofac steuert Umfang und Lebensdauer
Nächster:ASP.NET Core erhält den relativen Pfad zur aktuellen URL

Verwandte Beiträge
Verzichtserklärung:
Alle von Code Farmer Network veröffentlichten Software, Programmiermaterialien oder Artikel dienen ausschließlich Lern- und Forschungszwecken; Die oben genannten Inhalte dürfen nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls tragen die Nutzer alle Konsequenzen. Die Informationen auf dieser Seite stammen aus dem Internet, und Urheberrechtsstreitigkeiten haben nichts mit dieser Seite zu tun. Sie müssen die oben genannten Inhalte innerhalb von 24 Stunden nach dem Download vollständig von Ihrem Computer löschen. Wenn Ihnen das Programm gefällt, unterstützen Sie bitte echte Software, kaufen Sie die Registrierung und erhalten Sie bessere echte Dienstleistungen. Falls es eine Verletzung gibt, kontaktieren Sie uns bitte per E-Mail.
Mail To:help@itsvse.com