Ten artykuł jest lustrzanym artykułem tłumaczenia maszynowego, kliknij tutaj, aby przejść do oryginalnego artykułu.

Architect_Programmer_Code Sieć Rolnicza»Architekt Programowanie .Net/C # ASP.NET Zakaz dostępu do plików logów w postaci adresów URL
Widok: 11727|Odpowiedź: 0

[Napiwki] ASP.NET Zakaz dostępu do plików logów w postaci adresów URL

[Skopiuj link]
Opublikowano 19.09.2020 12:55:09 | | | |
asp.net Podczas zapisywania logów pliki logów są przechowywane w folderze w katalogu głównym projektu. Jeśli atakujący znajdzie plik logu txt przez żądania brute force i uzyska dostęp do niego przez URL, można uzyskać wrażliwe informacje. Jak zablokować dostęp do wrażliwego katalogu przez ten URL? Ten artykuł wyjaśni to.

Pliki logowe:

http://localhost:60155/Log/LogInfo/20180903.txt



Można łatwo czytać zawartość pliku logu przez przeglądarkę, jak zablokować dostęp do wrażliwych katalogów przez adresy URL?

Metoda 1 (Mierzona)

W Web.config konfiguruj następującą konfigurację:



W tym momencie ponownie przejrzyj 20180903.txt w katalogu Log/LogInfo i okazuje się, że jest zabroniony, a prompt jest następujący:



Strona pokazuje błąd 404, a strona to niestandardowa strona z błędem 404, którą dostosowałem.

Uwaga: Skonfigurowany log nie będzie rozróżniał wielkości wielkości, czyli wszystkie linki URL z małymi literami również będą zgłaszać błąd 404.

Metoda 2 (nieprzetestowana)

Albo edytuj plik web.config w następujący sposób:


Kod HttpForbiddenHandler wygląda następująco:


Zasada polega na przesłaniu linku określonej reguły do odpowiadającego mu potoku żądań, a następnie dostosowany potok HTTP przetwarza żądanie.




Poprzedni:Autofac kontroluje zakres i czas życia
Następny:ASP.NET Core otrzymuje względną ścieżkę do aktualnego adresu URL

Powiązane wpisy
Zrzeczenie się:
Całe oprogramowanie, materiały programistyczne lub artykuły publikowane przez Code Farmer Network służą wyłącznie celom edukacyjnym i badawczym; Powyższe treści nie mogą być wykorzystywane do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownicy ponoszą wszelkie konsekwencje. Informacje na tej stronie pochodzą z Internetu, a spory dotyczące praw autorskich nie mają z nią nic wspólnego. Musisz całkowicie usunąć powyższą zawartość z komputera w ciągu 24 godzin od pobrania. Jeśli spodoba Ci się program, wspieraj oryginalne oprogramowanie, kup rejestrację i korzystaj z lepszych, autentycznych usług. W przypadku naruszenia praw prosimy o kontakt mailowy.
Mail To:help@itsvse.com