ASP.NET URL 형태의 로그 파일 접근 금지

작은 쓰레기 같은 놈들 · 게시됨 2020. 9. 19. 오후 12:55:09

asp.net log4net을 사용해 로그를 작성할 때, 로그 파일은 프로젝트의 루트 디렉터리에 저장됩니다. 만약 공격자가 무차별 대입 요청으로 txt 로그 파일을 찾아 URL을 통해 접근할 수 있다면, 민감한 정보를 얻을 수 있습니다. 민감한 디렉터리가 URL을 통해 접근되는 것을 어떻게 막을 수 있나요? 이 글에서 설명하겠습니다.

로그 파일:

http://localhost:60155/Log/LogInfo/20180903.txt

브라우저를 통해 로그 파일 내용을 쉽게 읽을 수 있는데, 민감한 디렉터리가 URL을 통해 접근되는 것을 어떻게 차단하나요?

방법 1 (측정)

Web.config에서 다음 구성을 설정하세요:

로그인이 보이네요.

이때 Log/LogInfo 디렉토리의 20180903.txt을 다시 탐색하면 금지되어 있으며, 프롬프트는 다음과 같습니다:

페이지에 404 오류가 표시되어 있고, 그 페이지는 제가 커스터마이즈한 맞춤형 404 오류 페이지입니다.

참고: 설정된 로그는 대소문자 구분이 아니므로, 모든 소문자 URL 링크도 404 오류를 보고합니다.

방법 2 (미검증)

또는 web.config 파일을 다음과 같이 편집하세요:

로그인이 보이네요.

HttpForbiddenHandler 코드는 다음과 같습니다:

로그인이 보이네요.

원리는 지정된 규칙의 링크를 해당 요청 파이프라인에 전달하고, 그 후 맞춤형 HTTP 요청 파이프라인이 요청을 처리하는 것입니다.

[팁] ASP.NET URL 형태의 로그 파일 접근 금지

관련 게시물

본 섹션