Web安全问题及防范规范之错误堆栈信息推测攻击_B/S开发框架

Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,你会不会把程序错误信息到直接暴露给用户,本篇文章来告诉大家怎么防范错误堆栈信息推测攻击。

适用范围

Web网站(PC端和手机端)

攻击原理

故意构造可能会造成系统异常的数据,使系统报告错误相关的堆栈信息,从中获取有利用价值的信息,并结合其它漏洞进行攻击。

如在我们的官网里面任意输入一个域名:http://www.hocode.com/OrgTec/Plugin/gongji.html,在我们没有进行任何处理情况下,界面如下显示:

错误信息直接显示

解决方案

应用程序处理

1、设置web.config中 <system.webServer>节如下

<httpErrors errorMode=""DetailedLocalOnly"" />


2、web.config文件下 system.web节点添加错误信息处理页面设置。


  <system.web>
    <customErrors mode="On" defaultRedirect="~/500.html">
      <error statusCode="404" redirect="~/404.html"/>
      <error statusCode="403" redirect="~/404.html"/>
    </customErrors>
  </system.web>
处理后输入域名http://www.hocode.com/OrgTec/Plugin/gongji.html,跳转到http://www.hocode.com/404.html?aspxerrorpath=/OrgTec/Plugin/gongji.html,结果如下:


错误信息处理后显示


管理处理

1、网站使用发布的形式进行发布

2、不要直接替换调试web.config到发布环境


物理处理


Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,你会不会把程序错误信息到直接暴露给用户,本篇文章来告诉大家怎么防范错误堆栈信息推测攻击。

标签: B/S开发框架Web安全问题及防范规范标签

网站&系统开发技术学习交流群:463167176

本站文章除注明转载外,均为本站原创或翻译,欢迎任何形式的转载,但请务必注明出处,尊重他人劳动,共创和谐网络环境。
转载请注明:文章转载自:华晨软件-云微开发平台 » Web安全问题及防范规范之错误堆栈信息推测攻击_B/S开发框架
本文标题:Web安全问题及防范规范之错误堆栈信息推测攻击_B/S开发框架
本文地址:http://www.hocode.com/OrgTec/Back/0019.html

相关文章: 云微平台B/S开发框架成功案例-Vecture分销系统

电话
电话 18718672256

扫一扫
二维码