ASP.NET Заборонити доступ до файлів журналів у вигляді URL

Маленька покидька · Опубліковано 19.09.2020 12:55:09

asp.net При використанні log4net для запису логів файли журналів зберігаються у папці кореневого каталогу проєкту, якщо зловмисник зможе знайти txt log файл за допомогою запитів на перебор і отримати доступ через URL, можна отримати конфіденційну інформацію, як заблокувати доступ до конфіденційної директорії через URL? Ця стаття пояснить.

Лог-файли:

http://localhost:60155/Log/LogInfo/20180903.txt

Ви можете легко читати вміст журналу через браузер, як заблокувати доступ до чутливих каталогів через URL?

Метод 1 (виміряний)

У Web.config налаштуйте таку конфігурацію:

Вхід видно.

У цей момент перегляньте 20180903.txt у каталозі Log/LogInfo і дізнайтеся, що це заборонено, а запит виглядає так:

Сторінка показує помилку 404, а сторінка — це власна сторінка помилки 404, яку я налаштував.

Примітка: налаштований журнал не буде чутливим до регістру, тобто всі малі URL-посилання також повідомлятимуть про помилку 404.

Метод 2 (не протестований)

Або відредагуйте файл web.config наступним чином:

Вхід видно.

Код HttpForbiddenHandler виглядає так:

Вхід видно.

Принцип полягає в тому, щоб пересилати посилання з заданого правила на відповідний конвеєр запитів, а потім налаштований HTTP-конвеєр запитів обробляє запит.

[Чайови] ASP.NET Заборонити доступ до файлів журналів у вигляді URL

Пов'язані дописи

Переглянуті розділи