Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Programación .Net/C # ASP.NET Prohíbe el acceso a archivos de registro en forma de URLs
Vista: 11727|Respuesta: 0

[Consejos] ASP.NET Prohíbe el acceso a archivos de registro en forma de URLs

[Copiar enlace]
Publicado en 19/9/2020 12:55:09 | | | |
asp.net Al usar log4net para escribir logs, los archivos de log se almacenarán en una carpeta en el directorio raíz del proyecto; si el atacante puede encontrar el archivo de log txt mediante solicitudes de suplantación por fuerza bruta y acceder a él a través de la URL, puedes obtener información sensible, ¿cómo bloquear el acceso al directorio sensible a través de la URL? Este artículo lo explicará.

Archivos de registro:

http://localhost:60155/Log/LogInfo/20180903.txt



Puedes leer fácilmente el contenido del archivo de registro a través de un navegador, ¿cómo bloquear el acceso a directorios sensibles a través de URLs?

Método 1 (Medido)

En Web.config, configura la siguiente configuración:



En este momento, revisa de nuevo la 20180903.txt en el directorio Log/LogInfo y descubre que está prohibido, y el mensaje es el siguiente:



La página muestra un error 404, y la página es una página personalizada de error 404 que he personalizado.

Nota: El registro configurado no será sensible a mayúsculas minúsculas, es decir, todos los enlaces URL minúsculas también informarán de un error 404.

Método 2 (no probado)

O editar el archivo web.config de la siguiente manera:


El código de HttpForbiddenHandler es el siguiente:


El principio consiste en reenviar el enlace de la regla especificada a la tubería de petición correspondiente, y luego la tubería personalizada de solicitudes HTTP procesará la solicitud.




Anterior:Autofac controla el alcance y la vida útil
Próximo:ASP.NET Core obtiene la ruta relativa a la URL actual

Publicaciones relacionadas
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com