Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Programmazione .Net/C # ASP.NET Vieta l'accesso ai file di log sotto forma di URL
Vista: 11727|Risposta: 0

[Consigli] ASP.NET Vieta l'accesso ai file di log sotto forma di URL

[Copiato link]
Pubblicato su 19/09/2020 12:55:09 | | | |
asp.net Quando si usano log4net per scrivere log, i file di log vengono memorizzati in una cartella nella directory root del progetto; se l'attaccante riesce a trovare il log txt tramite richieste di impersonificazione brute force e ad accedervi tramite l'URL, puoi ottenere alcune informazioni sensibili: come bloccare l'accesso alla directory sensibile tramite l'URL? Questo articolo spiegherà.

File di registro:

http://localhost:60155/Log/LogInfo/20180903.txt



Puoi leggere facilmente il contenuto del file di log tramite un browser, come bloccare directory sensibili dall'accesso tramite URL?

Metodo 1 (Misurato)

In Web.config, configura la seguente configurazione:



A questo punto, sfoglia di nuovo il 20180903.txt nella directory Log/LogInfo e scopri che è vietata, e il prompt è il seguente:



La pagina mostra un errore 404, ed è una pagina di errore 404 personalizzata che ho personalizzato.

Nota: Il log configurato non sarà distinto dalla maiuscola, cioè tutti i link URL minuscoli riporteranno anche un errore 404.

Metodo 2 (non testato)

Oppure modifica il file web.config come segue:


Il codice HttpForbiddenHandler è il seguente:


Il principio è inoltrare il collegamento della regola specificata alla pipeline di richiesta corrispondente, e poi la pipeline HTTP personalizzata elaborerà la richiesta.




Precedente:Autofac controlla la portata e la durata della vita
Prossimo:ASP.NET Core ottiene il percorso relativo all'URL corrente

Post correlati
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com