Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Programação .Net/C # ASP.NET Proíbe o acesso a arquivos de log na forma de URLs
Vista: 11727|Resposta: 0

[Gorjetas] ASP.NET Proíbe o acesso a arquivos de log na forma de URLs

[Copiar link]
Publicado em 19/09/2020 12:55:09 | | | |
asp.net Ao usar log4net para gravar logs, os arquivos de log serão armazenados em uma pasta no diretório raiz do projeto; se o atacante conseguir encontrar o arquivo de log txt por meio de solicitações de usucapião brute force e acessá-lo pela URL, você pode obter algumas informações sensíveis, como bloquear o acesso ao diretório sensível pela URL? Este artigo vai explicar.

Arquivos de log:

http://localhost:60155/Log/LogInfo/20180903.txt



Você pode facilmente ler o conteúdo do arquivo de log através de um navegador, como bloquear diretórios sensíveis para que não sejam acessados por URLs?

Método 1 (Medido)

No Web.config, configure a seguinte configuração:



Neste momento, navegue novamente pela 20180903.txt no diretório Log/LogInfo e veja que está proibido, e o prompt é o seguinte:



A página mostra um erro 404, e a página é uma página personalizada de erro 404 que eu personalizei.

Nota: O log configurado não será sensível a maiúsculas minúsculas, ou seja, todos os links de URL minúsculos também reportarão um erro 404.

Método 2 (não testado)

Ou editar o arquivo web.config da seguinte forma:


O código do HttpForbiddenHandler é o seguinte:


O princípio é encaminhar o link da regra especificada para o pipeline de requisição correspondente, e então o pipeline personalizado de requisição HTTP processará a solicitação.




Anterior:O Autofac controla o escopo e a vida útil
Próximo:ASP.NET Core recebe o caminho relativo até a URL atual

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com