适用范围
Web网站(PC端和手机端)
攻击原理
故意构造可能会造成系统异常的数据,使系统报告错误相关的堆栈信息,从中获取有利用价值的信息,并结合其它漏洞进行攻击。
如在我们的官网里面任意输入一个域名:https://www.hocode.com/OrgTec/Plugin/gongji.html,在我们没有进行任何处理情况下,界面如下显示:
解决方案
应用程序处理
1、设置web.config中 <system.webServer>节如下
<httpErrors errorMode=""DetailedLocalOnly"" />
2、web.config文件下 system.web节点添加错误信息处理页面设置。
<system.web>
<customErrors mode="On" defaultRedirect="~/500.html">
<error statusCode="404" redirect="~/404.html"/>
<error statusCode="403" redirect="~/404.html"/>
</customErrors>
</system.web>
处理后输入域名https://www.hocode.com/OrgTec/Plugin/gongji.html,跳转到https://www.hocode.com/404.html?aspxerrorpath=/OrgTec/Plugin/gongji.html,结果如下:
管理处理
1、网站使用发布的形式进行发布
2、不要直接替换调试web.config到发布环境
物理处理
无
Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,你会不会把程序错误信息到直接暴露给用户,本篇文章来告诉大家怎么防范错误堆栈信息推测攻击。
