asp.net Izmantojot log4net, lai rakstītu žurnālus, žurnālfaili tiks glabāti mapē projekta saknes direktorijā, ja uzbrucējs var atrast txt žurnālfailu, izmantojot brutāla spēka uzdošanās pieprasījumus, un piekļūt tam, izmantojot URL, jūs varat iegūt sensitīvu informāciju, kā bloķēt piekļuvi sensitīvajam direktorijam, izmantojot URL? Šis raksts paskaidros.
Žurnālfaili:
http://localhost:60155/Log/LogInfo/20180903.txt
Jūs varat viegli izlasīt žurnāla faila saturu, izmantojot pārlūkprogrammu, kā bloķēt sensitīvu direktoriju piekļuvi, izmantojot URL?
1. metode (izmērīta)
Programmā Web.config konfigurējiet šādu konfigurāciju:
Šajā laikā vēlreiz pārlūkojiet 20180903.txt direktorijā Log/LogInfo un konstatējiet, ka tas ir aizliegts, un uzvedne ir šāda:
Lapā tiek rādīta 404 kļūda, un lapa ir pielāgota 404 kļūdas lapa, kuru es pielāgoju.
Piezīmes: Konfigurētais žurnāls nebūs reģistrjutīgs, tas ir, visas mazo burtu URL saites ziņos arī par 404 kļūdu.
2. metode (nepārbaudīta)
Vai arī rediģējiet failu web.config šādi:
HttpForbiddenHandler kods ir šāds:
Princips ir pārsūtīt norādītās kārtulas saiti uz atbilstošo pieprasījuma konveijeru, un pēc tam pielāgotais HTTP pieprasījuma konveijers apstrādās pieprasījumu. |
Publicēts 19.09.2020 12:55:09
|
|
|
|
