Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Pemrograman .Net/C # ASP.NET Melarang akses ke file log dalam bentuk URL
Melihat: 11727|Jawab: 0

[Kiat] ASP.NET Melarang akses ke file log dalam bentuk URL

[Salin tautan]
Diposting pada 19/09/2020 12.55.09 | | | |
asp.net Saat menggunakan log4net untuk menulis log, file log akan disimpan dalam folder di direktori root proyek, jika penyerang dapat menemukan file log txt melalui permintaan peniruan identitas brute force, dan mengaksesnya melalui URL, Anda dapat memperoleh beberapa informasi sensitif, bagaimana cara memblokir direktori sensitif agar tidak dapat diakses melalui URL? Artikel ini akan menjelaskan.

File log:

http://localhost:60155/Log/LogInfo/20180903.txt



Anda dapat dengan mudah membaca konten file log melalui browser, bagaimana cara memblokir direktori sensitif agar tidak diakses melalui URL?

Metode 1 (Diukur)

Di Web.config, konfigurasikan konfigurasi berikut:



Pada saat ini, telusuri 20180903.txt di direktori Log/LogInfo lagi dan temukan bahwa itu dilarang, dan perintahnya adalah sebagai berikut:



Halaman menunjukkan kesalahan 404, dan halaman tersebut adalah halaman kesalahan 404 kustom yang saya sesuaikan.

Catatan: Log yang dikonfigurasi tidak akan peka huruf besar/kecil, yaitu, semua link URL huruf kecil juga akan melaporkan error 404.

Metode 2 (belum diuji)

Atau edit file web.config sebagai berikut:


Kode HttpForbiddenHandler adalah sebagai berikut:


Prinsipnya adalah meneruskan tautan aturan yang ditentukan ke alur permintaan yang sesuai, dan kemudian alur permintaan HTTP yang disesuaikan akan memproses permintaan.




Mantan:Autofac mengontrol cakupan dan masa pakai
Depan:ASP.NET Core mendapatkan jalur relatif ke URL saat ini

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com