台灣最大程式設計社群網站
線上人數
3332
 
會員總數:246323
討論主題:189853
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 該資安問題之修改,mode一定要"On"嗎?
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
該資安問題之修改,mode一定要"On"嗎?
價值 : 50 QP  點閱數:2607 回應數:1
樓主

荔枝
中級專家
2677 787
10036 2628
發送站內信

捐贈 VP 給 荔枝
無意間找到了這個資安問題:
http://knowledge.twisc.ntust.edu.tw/doku.php?id=3%E4%BC%BA%E6%9C%8D%E7%AB%AF%E5%AE%89%E5%85%A8:3-3%E5%AE%89%E5%85%A8%E7%A8%8B%E5%BC%8F%E7%A2%BC%E5%AF%AB%E4%BD%9C:ASP.NET%20%E5%BC%B1%E9%BB%9E%E4%BF%AE%E6%AD%A3-(web.config%20customErrors)
它提到某資安問題,解決方法說:
如果是 ASP.NET 3.5 SP1 或 ASP.NET 4.0 的話,
設定格式為:
<customErrors mode=“On” redirectMode=“ResponseRewrite” defaultRedirect=”~/error.aspx” />
我去看了一下自己網站的設定格式為:
<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
<error statusCode="403" redirect="NoAccess.htm"/>
<error statusCode="404" redirect="~/XXX.aspx"/>
</customErrors>
然而,它的意思是不是說,我不能夠有以下這2行:
<error statusCode="403" redirect="NoAccess.htm"/>
<error statusCode="404" redirect="~/XXX.aspx"/>
且還要加上redirectMode=“ResponseRewrite”且 mode還必須改成「On」是這樣嗎?
我不能用mode="RemoteOnly"嗎?
還是說我有誤解?
請教大家,謝謝!

本篇文章發表於2011-02-25 10:01
1樓
最有價值解答

香帥
檢舉此回應
它有說:
※這種攻擊方式不是透過判斷「錯誤訊息內容」來猜出金鑰,而是只要網站
回應了非預期的錯誤訊息就可以判定是猜錯了,進而再次猜測下一個組合
。增加 Thread.Sleep 的時間只能延緩網站被攻陷的時間,不能保證網站
不會被攻擊。
同時,ASP.NET 開發團隊也釋出了一個偵測 <customError> 是否被停用的
VBScript 程式,這個程式下載後直接執行就會自動開始對IIS 進行分析,
他會把註冊在 IIS 中的所有 Web 應用程式的web.config 開啟並檢查是否做
到上述的設定步驟,如果看到下圖執行結果標紅框的部分就代表網站正處
於極度危險的狀態!
以上這才是重點,因暴力攻擊,是跟據您回應的錯誤碼,繼續TRY
因此您若要防止它,可統計IP它進入的次數,若某段時間超過若干次就不允許
我的佐印軟體登錄序號,超過10次,就請它一小時後才可再進入.
本篇文章回覆於2011-03-05 22:07
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.