この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。

Architect_Programmer_Code農業ネットワーク»建築家 プログラミング .Net/C# ASP.NET URLの形でログファイルへのアクセスを禁止する
眺める: 11727|答える: 0

[ヒント] ASP.NET URLの形でログファイルへのアクセスを禁止する

[リンクをコピー]
掲載地 2020/09/19 12:55:09 | | | |
asp.net log4netを使ってログを書き込むと、ログファイルはプロジェクトのルートディレクトリ内のフォルダに保存されます。攻撃者がブルートフォースでそのtxtログファイルを見つけ、URL経由でアクセスできれば、機密情報を入手できます。どうすればURL経由で機密ディレクトリへのアクセスを防げますか? この記事ではその説明を解きます。

ログファイル:

http://localhost:60155/Log/LogInfo/20180903.txt



ブラウザからログファイルの内容を簡単に読むことができますが、URLを通じて機密ディレクトリへのアクセスをどうブロックすればいいのでしょうか?

方法1(測定)

Web.configで以下の設定をします:



この時点で、Log/LogInfoディレクトリの20180903.txtを再度閲覧し、禁止されていることがわかり、プロンプトは以下の通りです:



ページには404エラーが表示されており、そのページは私がカスタマイズしたカスタム404エラーページです。

注意:設定されたログは大文字を区別せず、すべての小文字URLリンクも404エラーを報告します。

方法2(未検証)

または、web.configファイルを以下のように編集してください:


HttpForbiddenHandlerのコードは以下の通りです:


原則としては、指定されたルールのリンクを対応するリクエストパイプラインに転送し、カスタマイズされたHTTPリクエストパイプラインがそのリクエストを処理することです。




先の:オートファック制御範囲と寿命
次に:ASP.NET Coreは現在のURLへの相対パスを取得します

関連記事
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com