討論區列表 >> 網管 / 資安 / VM >> 該資安問題之修改,mode一定要"On"嗎?
[]
[我要回覆]
1
|
|||||
|
|||||
樓主 荔枝 
 發送站內信
|
http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-3%E5%AE%89%E5%85%A8%E7%A8%8B%E5%BC%8F%E7%A2%BC%E5%AF%AB%E4%BD%9C:ASP.NET%20%E5%BC%B1%E9%BB%9E%E4%BF%AE%E6%AD%A3-(web.config%20customErrors) 它提到某資安問題,解決方法說: 如果是 ASP.NET 3.5 SP1 或 ASP.NET 4.0 的話, 設定格式為: <customErrors mode=“On” redirectMode=“ResponseRewrite” defaultRedirect=”~/error.aspx” /> 我去看了一下自己網站的設定格式為: <customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm"> <error statusCode="403" redirect="NoAccess.htm"/> <error statusCode="404" redirect="~/XXX.aspx"/> </customErrors> 然而,它的意思是不是說,我不能夠有以下這2行: <error statusCode="403" redirect="NoAccess.htm"/> <error statusCode="404" redirect="~/XXX.aspx"/> 且還要加上redirectMode=“ResponseRewrite”且 mode還必須改成「On」是這樣嗎? 我不能用mode="RemoteOnly"嗎? 還是說我有誤解? 請教大家,謝謝!
本篇文章發表於2011-02-25 10:01
|
||||
2677
787
10036
2628
| 1樓
最有價值解答
 香帥
|
它有說:
※這種攻擊方式不是透過判斷「錯誤訊息內容」來猜出金鑰,而是只要網站 回應了非預期的錯誤訊息就可以判定是猜錯了,進而再次猜測下一個組合 。增加 Thread.Sleep 的時間只能延緩網站被攻陷的時間,不能保證網站 不會被攻擊。 同時,ASP.NET 開發團隊也釋出了一個偵測 <customError> 是否被停用的 VBScript 程式,這個程式下載後直接執行就會自動開始對IIS 進行分析, 他會把註冊在 IIS 中的所有 Web 應用程式的web.config 開啟並檢查是否做 到上述的設定步驟,如果看到下圖執行結果標紅框的部分就代表網站正處 於極度危險的狀態! 以上這才是重點,因暴力攻擊,是跟據您回應的錯誤碼,繼續TRY 因此您若要防止它,可統計IP它進入的次數,若某段時間超過若干次就不允許 我的佐印軟體登錄序號,超過10次,就請它一小時後才可再進入.
本篇文章回覆於2011-03-05 22:07
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔-- |
1
| 回覆 |
| 如要回應,請先登入. |
