Bu makale makine çevirisi ayna makalesidir, orijinal makaleye geçmek için lütfen buraya tıklayın.

Architect_Programmer_Code Tarım Ağı»Mimar Programlama .Net/C # ASP.NET URL biçiminde log dosyalarına erişimi yasakla
Görünüm: 11727|Yanıt: 0

[İpucu] ASP.NET URL biçiminde log dosyalarına erişimi yasakla

[Bağlantıyı kopyala]
Yayınlandı 19.09.2020 12:55:09 | | | |
asp.net log4net kullanılarak loglar yazılırken, log dosyaları projenin kök dizininde bir klasörde saklanır; saldırgan kaba kuvvet taklit talepleriyle txt log dosyasını bulur ve URL üzerinden erişebilirse, bazı hassas bilgiler elde edebilirsiniz, hassas dizinin URL üzerinden erişilmesini nasıl engellersiniz? Bu makale bunu açıklayacaktır.

Günlük dosyaları:

http://localhost:60155/Log/LogInfo/20180903.txt



Log dosyası içeriğini tarayıcı üzerinden kolayca okuyabilirsiniz, hassas dizinlerin URL'ler üzerinden erişilmesini nasıl engellersiniz?

Yöntem 1 (Ölçülmüş)

Web.config'de aşağıdaki yapılandırmayı yapılandırın:



Bu sırada, Log/LogInfo dizininde 20180903.txt tekrar göz attığınızda yasak olduğunu görürüz, ayrıca prompt şöyledir:



Sayfa 404 hatası gösteriyor ve sayfa benim özelleştirdiğim özel bir 404 hata sayfası.

Not: Yapılandırılmış günlük büyük harf duyarlı olmaz, yani tüm küçük harfli URL bağlantıları da 404 hatası bildirecektir.

Yöntem 2 (test edilmemiş)

Ya da web.config dosyasını aşağıdaki gibi düzenleyebilirsiniz:


HttpForbiddenHandler kodu şöyledir:


Prensip, belirtilen kuralın bağlantısını ilgili istek boru hattına iletmektir ve ardından özelleştirilmiş HTTP istek boru hattı isteği işler.




Önceki:Autofac, kapsam ve ömrü kontrol eder
Önümüzdeki:ASP.NET Core, mevcut URL'ye olan göreli yolu alır

İlgili Yazılar
Feragatname:
Code Farmer Network tarafından yayımlanan tüm yazılım, programlama materyalleri veya makaleler yalnızca öğrenme ve araştırma amaçları içindir; Yukarıdaki içerik ticari veya yasa dışı amaçlarla kullanılamaz, aksi takdirde kullanıcılar tüm sonuçları ödemelidir. Bu sitedeki bilgiler internetten alınmakta olup, telif hakkı anlaşmazlıklarının bu siteyle hiçbir ilgisi yoktur. Yukarıdaki içeriği indirmeden sonraki 24 saat içinde bilgisayarınızdan tamamen silmelisiniz. Programı beğendiyseniz, lütfen orijinal yazılımı destekleyin, kayıt satın alın ve daha iyi orijinal hizmetler alın. Herhangi bir ihlal olursa, lütfen bizimle e-posta yoluyla iletişime geçin.
Mail To:help@itsvse.com