Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Programmation .Net/C # ASP.NET Interdire l’accès aux fichiers journaux sous forme d’URL
Vue: 11727|Répondre: 0

[Pourboires] ASP.NET Interdire l’accès aux fichiers journaux sous forme d’URL

[Copié le lien]
Publié sur 19/09/2020 12:55:09 | | | |
asp.net Lorsque vous utilisez log4net pour écrire des journaux, les fichiers journaux seront stockés dans un dossier dans le répertoire racine du projet, si l’attaquant trouve le fichier journal txt via des requêtes d’usurpation d’identité brute et y accède via l’URL, vous pouvez obtenir des informations sensibles, comment bloquer l’accès au répertoire sensible via l’URL ? Cet article va vous expliquer.

Fichiers journaux :

http://localhost:60155/Log/LogInfo/20180903.txt



Vous pouvez facilement lire le contenu du fichier journal via un navigateur, comment bloquer l’accès à des annuaires sensibles via des URL ?

Méthode 1 (Mesurée)

Dans Web.config, configurez la configuration suivante :



À ce stade, parcourez à nouveau la 20180903.txt dans le répertoire Log/LogInfo et constatez qu’elle est interdite, et l’invite est la suivante :



La page affiche une erreur 404, et la page est une page personnalisée 404 que j’ai personnalisée.

Note : Le journal configuré ne sera pas sensible à la casse, c’est-à-dire que tous les liens URL minuscules rapporteront également une erreur 404.

Méthode 2 (non testée)

Ou modifier le fichier web.config comme suit :


Le code HttpForbiddenHandler est le suivant :


Le principe consiste à transmettre le lien de la règle spécifiée vers le pipeline de requête correspondant, puis le pipeline de requêtes HTTP personnalisé traitera la requête.




Précédent:Autofac contrôle la portée et la durée de vie
Prochain:ASP.NET Core obtient le chemin relatif vers l’URL actuelle

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com