asp.net Όταν χρησιμοποιείτε το log4net για την εγγραφή αρχείων καταγραφής, τα αρχεία καταγραφής θα αποθηκευτούν σε ένα φάκελο στον ριζικό κατάλογο του έργου, εάν ο εισβολέας μπορεί να βρει το αρχείο καταγραφής txt μέσω αιτημάτων πλαστοπροσωπίας ωμής βίας και να αποκτήσει πρόσβαση σε αυτό μέσω της διεύθυνσης URL, μπορείτε να λάβετε ορισμένες ευαίσθητες πληροφορίες, πώς να αποκλείσετε την πρόσβαση στον ευαίσθητο κατάλογο μέσω της διεύθυνσης URL; Αυτό το άρθρο θα εξηγήσει.
Αρχεία καταγραφής:
http://localhost:60155/Log/LogInfo/20180903.txt
Μπορείτε εύκολα να διαβάσετε το περιεχόμενο του αρχείου καταγραφής μέσω ενός προγράμματος περιήγησης, πώς να αποκλείσετε την πρόσβαση σε ευαίσθητους καταλόγους μέσω διευθύνσεων URL;
Μέθοδος 1 (μετρημένη)
Στο Web.config, διαμορφώστε την ακόλουθη ρύθμιση παραμέτρων:
Προς το παρόν, περιηγηθείτε ξανά στο 20180903.txt στον κατάλογο Log/LogInfo και βρείτε ότι απαγορεύεται και η προτροπή είναι η εξής:
Η σελίδα εμφανίζει ένα σφάλμα 404 και η σελίδα είναι μια προσαρμοσμένη σελίδα σφάλματος 404 που προσάρμοσα.
Σημείωση: Το διαμορφωμένο αρχείο καταγραφής δεν θα κάνει διάκριση πεζών-κεφαλαίων, δηλαδή, όλοι οι πεζοί σύνδεσμοι URL θα αναφέρουν επίσης ένα σφάλμα 404.
Μέθοδος 2 (μη δοκιμασμένη)
Ή επεξεργαστείτε το αρχείο web.config ως εξής:
Ο κώδικας του HttpForbiddenHandler έχει ως εξής:
Η αρχή είναι να προωθήσετε τη σύνδεση του καθορισμένου κανόνα στην αντίστοιχη διοχέτευση αιτήματος και, στη συνέχεια, η προσαρμοσμένη διοχέτευση αιτήματος HTTP θα επεξεργαστεί το αίτημα. |
Δημοσιεύτηκε στις 19/9/2020 12:55:09 μ.μ.
|
|
|
|
