Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Programmeren .Net/C # ASP.NET Verbied toegang tot logbestanden in de vorm van URL's.
Bekijken: 11727|Antwoord: 0

[Tips] ASP.NET Verbied toegang tot logbestanden in de vorm van URL's.

[Link kopiëren]
Geplaatst op 19-09-2020 12:55:09 | | | |
asp.net Wanneer je logs van logs gebruikt, worden logbestanden opgeslagen in een map in de rootmap van het project; als de aanvaller het txt-logbestand kan vinden via brute force-imitatieverzoeken en toegang krijgt via de URL, kun je gevoelige informatie verkrijgen, hoe blokkeer je de gevoelige map voor toegang via de URL? Dit artikel zal het uitleggen.

Logbestanden:

http://localhost:60155/Log/LogInfo/20180903.txt



Je kunt de inhoud van het logbestand gemakkelijk via een browser lezen, hoe blokkeer je gevoelige mappen zodat ze via URL's niet worden benaderd?

Methode 1 (Gemeten)

Configureer in Web.config de volgende configuratie:



Blader op dit moment opnieuw door de 20180903.txt in de Log/LogInfo-directory en ontdek dat het verboden is, en de prompt is als volgt:



De pagina toont een 404-foutmelding en de pagina is een aangepaste 404-foutpagina die ik heb aangepast.

Opmerking: Het geconfigureerde logboek zal niet hoofdlettergevoelig zijn, dat wil zeggen, alle linklinks met kleine letters zullen ook een 404-fout rapporteren.

Methode 2 (ongetest)

Of bewerk het web.config-bestand als volgt:


De HttpForbiddenHandler-code is als volgt:


Het principe is om de link van de gespecificeerde regel door te sturen naar de bijbehorende requestpipeline, waarna de aangepaste HTTP-requestpipeline het verzoek verwerkt.




Vorig:Autofac regelt reikwijdte en levensduur
Volgend:ASP.NET Core krijgt het relatieve pad naar de huidige URL

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com