收藏本站[收不到邮件][导航]
架构师,致力于程序员计算机编程知识交流的一个平台!

架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

架构师_程序员_码农网»架构师 编程开发&Programming .Net/C# ASP.NET 禁止日志文件通过Url形式访问
返回列表 发新帖
查看: 7623|回复: 0

[技巧] ASP.NET 禁止日志文件通过Url形式访问

[复制链接]
小渣渣
发表于 2020-9-19 12:55:09 | 显示全部楼层 |阅读模式
asp.net 使用 log4net 写日志的时候,会将日志文件存放到项目的根目录某个文件夹下面,如果攻击者通过暴力模拟请求的方式,可以找到txt日志文件,通过url访问,可以获取到一些敏感信息,如何屏蔽敏感目录通过URL访问呢?本文将做讲解。

日志文件:

http://localhost:60155/Log/LogInfo/20180903.txt

2dc6bd3e-f366-42a9-8c58-7e71c4c4ce2f.jpg

通过浏览器,可以轻易的读取日志文件内容,如何屏蔽敏感目录通过URL访问呢?

方式一(已测)

在Web.config中作如下的配置:



此时,再次浏览 Log/LogInfo 目录下的 20180903.txt,发现禁止了,提示如下:

431f0faf-89e6-44a2-85a3-3047f4e53156.jpg

页面会显示404错误,页面是我自定义的404错误页面。

注:配置的Log,不会区分大小写,也就是通过全部小写的url链接,同样会报404错误。

方式二(未测)

还是编辑web.config文件,如下:


HttpForbiddenHandler 代码如下:


原理是将指定规则的链接,转发到相应的请求管道,然后,由自定义的http请求管道去处理请求。
日志




上一篇:Autofac 控制作用域和生命周期(Scope and Lifetime)
下一篇:ASP.NET Core 获取当前 URL 相对路径

相关帖子

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。
Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-4-20 19:05

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表