两个网页中存在的风险如何解决?

yaotomo 2018-01-14 09:48:21
在线检测报告显示网站中存在两个风险
1、http://XXX.XXX.XXX:80/Wiki/Web.config
描述为: 配置文件是记录程序配置信息的重要文件,里面包含了大量敏感信息。例如:数据库配置文件中,包含了数据库服务器地址,连接数据库的用户名及口令等。一旦配置文件泄露,将使得攻击者获得大量可用信息,为攻击提供便利。
这个配置文件不是在网站的根目录下,可以修改吗文件名?会不会对其他网页访问造成影响?可以删除吗?

2、 CSRF跨站伪造请求
CSRF即跨站伪造请求,是伪造客户端请求的一种攻击,英文全称是Cross Site Request Forgery。在用户会话下对某个CGI做请求,这些请求用户未必知道和愿意做。
这个在代码上应该怎么防止呢?

我用的是webform,不是mvc

下面是检测报告的截图


...全文
826 8 打赏 收藏 转发到动态 举报
写回复
用AI写文章
8 条回复
切换为时间正序
请发表友善的回复…
发表回复
yaotomo 2018-01-16
  • 打赏
  • 举报
回复
引用 7 楼 starfd 的回复:
webform那就每次请求在页面上放一个token,这个token是在页面输出时随机生成的,后台获取时判断这个token是否一致,不一致就认为是伪造的 至于第一个,默认.confg文件是不允许访问的,除非你自己去修改了iis设置
可以在Application_BeginnRequest里,将这个token请求加上吗,比如一个GUID
  • 打赏
  • 举报
回复
webform那就每次请求在页面上放一个token,这个token是在页面输出时随机生成的,后台获取时判断这个token是否一致,不一致就认为是伪造的 至于第一个,默认.confg文件是不允许访问的,除非你自己去修改了iis设置
yaotomo 2018-01-16
  • 打赏
  • 举报
回复
引用 5 楼 chb345536638 的回复:
伪造跟是不是表单提交没什么关系,比如别人发个你一个GET增加网站点击量的请求,然后你之前就登录过这个网站,你一点这个连接,cookie什么的认证信息都给通过了,你的网站认为就是用户自己操作的,这个请求自然就成功了
那具体应该怎么防范呢,还是用token吗?但是token不是提交表单的时候和服务端验证吗 我这个页面没有提交表单的操作,所以也不能用验证码防范
  • 打赏
  • 举报
回复
伪造跟是不是表单提交没什么关系,比如别人发个你一个GET增加网站点击量的请求,然后你之前就登录过这个网站,你一点这个连接,cookie什么的认证信息都给通过了,你的网站认为就是用户自己操作的,这个请求自然就成功了
yaotomo 2018-01-14
  • 打赏
  • 举报
回复
引用 1 楼 DOwnstairs 的回复:
这种风险的意思是对方已经入侵了你的服务器,获取到了该文件。请加强服务器安全。 当然,如果服务器都被人控制了。那一切都在人掌控了。。 和网页代码无关。。。
你是说对方已经获取到了web.config的内容?请教应该如何避免? 第二种漏洞也一定有对应的防范措施吧?
SoulRed 2018-01-14
  • 打赏
  • 举报
回复
这种风险的意思是对方已经入侵了你的服务器,获取到了该文件。请加强服务器安全。 当然,如果服务器都被人控制了。那一切都在人掌控了。。 和网页代码无关。。。
yaotomo 2018-01-14
  • 打赏
  • 举报
回复
引用 3 楼 From_TaiWan 的回复:
伪造请求,这个倒是应该注意下,常见防范措施,可以增加验证信息,如token,还可以设置cookie的过期时间尽量短等,这个lz自己搜索下,内容比较多 防伪造攻击,我个人觉得不仅要加强网站的安全防范,还的提高上网者的安全意识
谢谢指点。我网上搜索了一下,跨站伪造请求一般是提交POST表单实现的 预防方法是在表单中添加一个hidden字段存储token,和服务端session中的token值进行比较,经过验证无误后则被认为是有效请求 还有的是修改img的src属性,发起一个对其他网站的请求 但是我这个页面没有表单提交,img标签的src属性也都正常,怎么会受到攻击呢?难道是因为url里的参数造成的?
秋的红果实 2018-01-14
  • 打赏
  • 举报
回复
web.config文件不能删除,有很大作用。 站点默认配置下,很难获得它的内容,除非如:攻击者进入到你的服务器,找到你的站点目录了 伪造请求,这个倒是应该注意下,常见防范措施,可以增加验证信息,如token,还可以设置cookie的过期时间尽量短等,这个lz自己搜索下,内容比较多 防伪造攻击,我个人觉得不仅要加强网站的安全防范,还的提高上网者的安全意识

62,025

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧