【转载】Asp.net网站安全:去除网站根目录下的备份文件防止代码泄露

最新推荐文章于 2023-07-11 08:40:44 发布
最新推荐文章于 2023-07-11 08:40:44 发布
阅读量164 收藏
点赞数
文章标签: 运维 java c#
原文链接:http://www.cnblogs.com/xu-yi/p/10993636.html
版权

很多网站运维人员在更新网站版本的时候,喜欢直接在网站目录文件夹中直接压缩原来的网站文件,如果这个备份压缩文件没有移动出去,这样是非常不安全的,有些网站攻击者可能会尝试访问你网站下有没有对应名字的压缩备份文件,如果有,就压缩包就直接被攻击者下载走了,造成网站源代码泄露,例如PHP网站直接就是源代码全部泄露出去,如果是java或者C#,拿到备份文件,别人也可以通过反编译的操作进行反编译jar或者dll等文件。

之前在巡查本网站的日志日志文件的时候,就发现有相应的请求记录,直接指向网站根目录的压缩包,如果本网站正好有此压缩包,则该访问的结果就是直接导致网站代码被下载泄露。通过日志分析,我发现有人尝试通过50bit.cn/web.rar、50bit.cn/domainCenter.rar、50bit.cn/50bit.cn.rar等路径进行访问站点,这种访问Url相信程序开发人员一眼就能知晓其访问的结果。因此建议运维人员以及程序开发人员在更新网站的版本的时候,一定不可偷懒直接将原网站的代码压缩一份直接放在网站目录中,非常容易造成代码的泄露。

 

备注:原文转载自博主个人站IT技术小趣屋,原文链接Asp.net网站安全:去除网站根目录下的备份文件防止代码泄露_IT技术小趣屋

转载于:https://www.cnblogs.com/xu-yi/p/10993636.html

weixin_30621919
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS自定义404错误页避免暴露.NET网站路径信息
01-11
再输入非.aspx页面时,显示默认404页面,暴露站点路径信息。 解决办法: 1.自定义错误页(eg:error.htm),放在站点根目录。 2.打开“错误页”,右键“编辑”,如图: 3.“错误页”,右键“编辑功能设置”,如图: 如果没变化的话重启一下IIS即可。 您可能感兴趣的文章:ASP.NET中MVC使用AJAX调用JsonResult方法并返回自定义错误信息ASP.NET MVC自定义错误页面真的简单吗?在ASP.NET Core中显示自定义的错误页面ASP.NET MVC下自定义错误页和展示错误页的方式ASP.NET MVC中异
asp.net站点阻止某个文件夹或者文件被浏览器访问
weixin_34009794的博客
12-28 450
一个站点根目录下面有一个Config文件夹,这个文件夹里面都是一些json格式的txt文本,文本是一种静态资源,如果知道这个文本的地址,就可以在浏览器中输入地址打开这个文本,别人就可以看到站点的配置,这是不希望的结果,所以就需要让这个文件夹禁止被浏览器访问。 方法一: 把*.txt的文件后缀修改为*.config,asp.net默认不能够访问.cs、.config等后缀的文件。注:在vs...
ASP.NET版本泄露【原理扫描】
最新发布
tone1128的博客
07-11 1374
按照操作进行设置操作后,会看到X-AspNet-Version不再显示。
ASP.net:保护你的DLL和Code不被别人使用
weixin_30751947的博客
09-23 217
大家做项目开发一般都是分层的,比如UI层,业务层,数据访问层。业务层引用数据访问层的DLL(比如dataAccess.dll),并使用 dataAccess.dll中的方法。当项目完成并给客户用了,可有些心里BT的客户这个时候也可以请个稍微懂NET的人来引用你的 dataAccess.dll并调用其中的方法搞破坏。比如可以直接使用里面的ChangePwd(string UserName,strin...
微软asp.net所有版本被发现严重安全漏洞2416728
frankcai_zju的专栏
09-19 821
本文来自[url=http://www.hetaoblog.com]核桃博客[/url] 微软官方团队于2010年9月17日发布一个asp.net几乎所有平台所有版本的严重安全漏洞 http://www.microsoft.com/technet/security/advisory/2416728.mspx 该漏洞影响几乎所有平台,包括xp,2003,vista,win7,200...
asp.net下文件上传和文件删除的代码
10-30
ASP.NET 文件上传和删除的实现 在 ASP.NET 中,文件上传和删除是两个常见的操作。在本文中,我们将详细介绍如何在 ASP.NET 中实现文件上传和删除,并提供相应的代码示例。 文件上传 在 ASP.NET 中,文件上传可以...
asp.net 文件路径之获得虚拟目录的网站根目录
01-02
string Server.MapPath(string path) 返回与Web服务器上的指定虚拟路径相对应的物理文件路径。 Server.MapPath(Request.ServerVariables[“PATH_INFO”]) Server.MapPath(“/”) Server.MapPath(“”) Server....
asp.net获取网站目录物理路径示例
01-01
页面后台cs文件的相对网站根目录的路径/view/Atlas 代码如下: string rootPath1= Server.MapPath(“~”); string rootPath2 = Request.ApplicationPath; string path1 = Server.MapPath(“upload”); string path2 =...
ASP.NET编程获取网站根目录方法小结
10-23
主要介绍了ASP.NET编程获取网站根目录方法,较为详细的分析了ASP.NET针对网站目录及物理路径的操作技巧,并给出了实例予以总结,需要的朋友可以参考下
asp.net网站安全从小做起与防范小结
01-20
以下都以ASP.NET开发网站为例。 1、sql注入漏洞。 解决办法:使用存储过程,参数不要用字符串拼接。简单改进办法:使用SqlHelper和OledbHelper 2、跨站脚本漏洞 解决办法:“默认禁止,显式允许”的策略。具体参考:...
MS10-070ASP.NETPaddingOracle信息泄露漏洞
01-30
我记得这个漏洞在12年的时候,国内的资料还很少,当时遇到之后来回找资料,但是国内当时在网上能看到的资料只有2篇,但我忘记是哪2篇了,不过手上是有2篇比较早的资料,先传上来做个引题吧。然后,在13年,这个漏洞不知道被谁翻出来了,然后就有点要火的意思了,大多数人看到这个漏洞之后都会开始尝试一下了。说到这里,推荐一下ay暗影同学的利用视频:《paddingoracle vulattack》然后还有其他朋友在问这个漏洞的问题,那就索性做个科普好了。ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此漏洞的攻击
微软 asp.net所有版本被发现严重安全漏洞2416728
hetaoblog的专栏
10-07 2867
<br />作者: 核桃博客 |<br />网址:http://www.hetaoblog.com/ms-asp-net-security-2416728/<br />本博客所有文章全部原创,欢迎转载,<br />但必须以超链接形式标明文章原始出处和作者信息及版权声明<br /> <br />微软官方团队于2010年9月17日发布一个asp.net几乎所有平台所有版本的严重安全漏洞<br />http://www.microsoft.com/technet/security/advisory/24167
虚拟web目录容易泄露ASP源代码 (MS,缺陷)
软件开发
11-19 502
虚拟web目录容易泄露ASP源代码 (MS,缺陷)                  涉及程序: Microsoft Internet Information Server/Index Server   描述: 震撼安全发现:新的漏洞允许查看http://www.biancheng88.cn/html/special/2008-11/Web/" title="web" target=_blank>
注意防范ASP.NET中可能导致信息泄漏的漏洞
weixin_30639719的博客
09-19 1079
ASP.NET中发现了一个可能导致信息泄漏的漏洞,影响了所有版本的ASP.NET,请注意做好保护措施。详细请参考http://www.microsoft.com/technet/security/advisory/2416728.mspx。 该漏洞目前已有更新补丁,请通过http://www.microsoft.com/technet/security/bulletin/ms10-07...
关于ASP.NET畸形HTTP请求信息泄露漏洞
lake2的专栏
12-31 4946
       Q&A       Q:为什么写这篇文章?       A:那天在群里聊,有个叫lis0的家伙叫我写的……    这个漏洞是半年前的事了,很老了吧,可是我现在才研究了一下,没办法,谁叫我消息闭塞呢——谁叫学校网络像垃圾一样……(汗~~~)    好了,首先找个网站看看漏洞信息吧。个人认为绿盟较好,信息更新快,呵呵,毕竟人家有商业利益驱动着啊。看这里:http://www.ns
隐藏IIS服务器上ASP.NET的版本,增强安全
weixin_34342905的博客
01-07 1914
出于某些特殊的原因,以及安全性方面的考虑,我们可能不希望使用者知道当前程序所使用的ASP.NET的具体版本,因为知道了具体版本,就可以有针对性的测试已知的漏洞,增大了风险。 这个时候,我们就可以利用.NET的配置参数,在 web.config 中,或者在machine.config中,将ASP.NET的具体版本号,从http头中去除。 下面看一下对比图: 这是隐藏之...
IIS版本号可以被识别,修复图解,亲测有效
小码的博客
09-04 5305
  漏洞类型: 配置错误 所属建站程序: 其他 所属服务器类型: IIS 所属编程语言: 其他 描述: 目标服务器IIS版本号可以被识别。 微软IIS服务器版本号可以被识别,可以被攻击者用来收集更多的信息。 危害: 攻击者可能通过IIS版本号利用对应的已知IIS漏洞——IIS4\IIS5 CGI环境块伪造漏洞、IIS 7.0/7.5服务器PHP解析漏洞等来进行针对性攻击,并且可以通...
检测到错误页面web应用服务器版本信息泄露
热门推荐
qq_20867981的博客
05-14 1万+
比方说我现在访问:http://localhost:8080/pages/xx.jsp,应该会报404,没有该页面,但是会显示出所用服务器的信息:所以为了避免产生此类漏洞个,应该对错误进行处理,在web.xml添加对相应的错误页面:&lt;!-- 默认的错误处理页面 --&gt; &lt;error-page&gt; &lt;error-code&gt;403&lt;/error-code...
ASP.NET程序设计:使用主题样式化网站.ppt
05-15
知识要点 任务 场景 任务 实施 知识 拓展 知识 要点 任务 场景 任务 实施 知识 拓展 知识 要点 任务 场景 任务 实施 知识 拓展 知识 要点 任务 场景 任务 实施 知识 拓展 知识要点 任务 场景 任务 实施 知识 拓展 知识 要点 任务 场景 任务 实施 知识 拓展 知识 要点 任务 场景 任务 实施 知识 拓展 知识 要点 任务 场景 任务 实施 知识 拓展 项目三:校园便利店系统界面设计 任务三:使用主题样式化网站 任务3 使用主题样式化网站 任务场景: ASP.NET主题是属性设置的集合,使用这些设置可以定义页面和控件的外观,并可以在某个ASP.NET网站的所有页或服务器上的所有ASP.NET网站中统一应用此外观。 本任务通过对个人网站的创建和主题应用,介绍如何将设计出来的美观效果灵活准确地应用到网站中。 知识要点 主题与外观控件 外观 级联样式表、图形和其他资源 创建ASP.NET页面主题 创建页面主题 在主题中添加外观文件 在主题中添加CSS 创建全局主题 禁用ASP.NET主题 应用ASP.NET主题 1.6 主题与外观控件 主题 主题由外观、级联样式表(

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值