Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Programare .Net/C # ASP.NET Interzicerea accesului la fișierele de jurnal sub formă de URL-uri
Vedere: 11727|Răspunde: 0

[Bacșișuri] ASP.NET Interzicerea accesului la fișierele de jurnal sub formă de URL-uri

[Copiază linkul]
Postat pe 19.09.2020 12:55:09 | | | |
asp.net Când folosești log4net pentru a scrie jurnale, fișierele de jurnal vor fi stocate într-un folder din directorul rădăcină al proiectului; dacă atacatorul poate găsi fișierul de jurnal txt prin cereri de impersonare prin forță brută și îl accesează prin URL, poți obține informații sensibile, cum să blochezi accesul la directorul sensibil prin URL? Acest articol va explica.

Fișiere de jurnal:

http://localhost:60155/Log/LogInfo/20180903.txt



Poți citi cu ușurință conținutul fișierului de jurnal printr-un browser, cum să blochezi accesul la directoarele sensibile prin URL-uri?

Metoda 1 (Măsurată)

În Web.config, configurați următoarea configurație:



În acest moment, răsfoiește din nou 20180903.txt din directorul Log/LogInfo și constată că este interzis, iar promptul este următorul:



Pagina arată o eroare 404, iar pagina este o pagină personalizată de eroare 404 pe care am personalizat-o.

Notă: Jurnalul configurat nu va fi sensibil la majuscule, adică toate linkurile URL cu litere mici vor raporta, de asemenea, o eroare 404.

Metoda 2 (netestată)

Sau editează fișierul web.config astfel:


Codul HttpForbiddenHandler este următorul:


Principiul este să se transmită legătura regulii specificate către pipeline-ul de cerere corespunzător, iar apoi pipeline-ul personalizat de solicitare HTTP va procesa cererea.




Precedent:Autofac controlează domeniul de aplicare și durata de viață
Următor:ASP.NET Core primește calea relativă către URL-ul curent

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com