ASP.NET Запретить доступ к файлам журналов в виде URL

Маленькая мразь · Опубликовано 19.09.2020 12:55:09

asp.net При использовании log4net для записи журналов файлы хранятся в папке в корневой директории проекта, если злоумышленник сможет найти txt log файл с помощью перебора и получить доступ к нему по URL, вы сможете получить чувствительную информацию, как заблокировать доступ к чувствительной директории через URL? В этой статье будет всё объяснено.

Лог-файлы:

http://localhost:60155/Log/LogInfo/20180903.txt

Содержимое журнала можно легко читать через браузер, как заблокировать доступ к чувствительным каталогам через URL?

Метод 1 (Измеренный)

В Web.config настройте следующую конфигурацию:

Вход виден.

В этот момент снова просматривайте 20180903.txt в каталоге Log/LogInfo и обнаруживайте, что он запрещён, а запрос выглядит следующим образом:

Страница показывает ошибку 404, а страница — пользовательская страница ошибки 404, которую я настроил.

Примечание: настроенный журнал не будет зависеть от регистра, то есть все строчные URL-ссылки также будут показывать ошибку 404.

Метод 2 (не протестирован)

Или отредактировать файл web.config следующим образом:

Вход виден.

Код HttpForbiddenHandler следующий:

Вход виден.

Принцип заключается в пересылке ссылки на указанное правило на соответствующий конвеер запросов, а затем кастомизированный HTTP-конвейер запроса обрабатывает запрос.

[Чаевые] ASP.NET Запретить доступ к файлам журналов в виде URL

Связанные публикации

Просмотренные разделы