Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Programiranje .Net/C # ASP.NET Prepovedati dostop do dnevnikov v obliki URL-jev
Pogled: 11727|Odgovoriti: 0

[Napitnine] ASP.NET Prepovedati dostop do dnevnikov v obliki URL-jev

[Kopiraj povezavo]
Objavljeno na 19. 09. 2020 12:55:09 | | | |
asp.net Ko uporabljaš log4net za pisanje dnevnikov, bodo dnevniške datoteke shranjene v mapi v korenski mapi projekta, če napadalec najde txt dnevnik datoteko preko zahtev za grobo silo in dostopa do nje preko URL-ja, lahko pridobiš nekaj občutljivih informacij, kako blokirati dostop do občutljive mape preko URL-ja? Ta članek bo pojasnil.

Dnevniške datoteke:

http://localhost:60155/Log/LogInfo/20180903.txt



Vsebino dnevnika lahko enostavno preberete prek brskalnika, kako blokirati dostop do občutljivih imenikov prek URL-jev?

Metoda 1 (izmerjeno)

V Web.config nastavite naslednjo konfiguracijo:



Takrat ponovno prebrskajte 20180903.txt v mapi Log/LogInfo in ugotovite, da je prepovedan, poziv pa je naslednji:



Stran prikazuje napako 404, stran pa je po meri narejena 404 napaka, ki sem jo prilagodil.

Opomba: Nastavljeni dnevnik ne bo občutljiv na velike in male črke, torej bodo vse povezave z malimi črkami prav tako poročale o napaki 404.

Metoda 2 (nepreizkušena)

Ali pa uredite datoteko web.config na naslednji način:


Koda HttpForbiddenHandler je naslednja:


Načelo je, da se povezava določenega pravila posreduje ustreznemu cevovodu za zahteve, nato pa prilagojeni HTTP cevovod za zahteve obdela zahtevo.




Prejšnji:Autofac nadzoruje obseg in življenjsko dobo
Naslednji:ASP.NET Core dobi relativno pot do trenutnega URL-ja

Sorodne objave
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com