0
如果名爲page.ashx的應用程序稱爲僅內部page.ashx,那麼是否存在安全風險,黑客是否可以斷定調用了另一個頁面?內部HTTP調用是否存在安全風險
我不想讓任何人訪問此頁面。它看起來很愚蠢我知道,但它是更復雜問題的一部分。
感謝
A
回答
1
默認情況下,一個ASHX處理程序可以訪問剛剛同一個aspx頁面。
目前還不清楚你的意思是「內部」。如果在服務器端進行調用,則可以通過刪除IIS上的權限來隱藏該文件。但是,這可能表明您根本不需要處理程序,並且可能直接調用該函數。 如果客戶端需要訪問它(例如,如果它正在返回腳本或圖像),則無法阻止對其的直接訪問。
2
「我不想讓任何人訪問此頁面。」
要歸檔,您需要檢查您的用戶是否在此頁面內進行了身份驗證,或者此頁面位於經過身份驗證的用戶的此角色可以看到的目錄中。
重定向可以被讀取 - 所以如果你有一些其他頁面重定向到你說的那個,這是可見的。
然而,服務器傳輸不能被讀取和它的內部,但我不知道這是否可以幫助你的情況。
0
如果您正在尋找安全指示燈,您可以使用難以猜測的文件或文件夾名稱對URL進行混淆處理,然後像Aristos建議的那樣使用服務器傳輸。
如果您正在尋找愛好者的安全性,然後實施一個Web服務,而不是ashx,需要使用應用程序憑據從調用代碼進行身份驗證(應用程序具有的用戶沒有的東西,以便用戶可以'直接撥打該服務)。
相關問題
- 1. 資產使用/ bundles/path是否存在任何安全風險?
- 2. 使用<noscript>是否存在安全風險?
- 3. 是否使用dirname(__ FILE__)存在安全風險?
- 4. SP_OACreate,SP_OAMethod等的使用是否存在安全風險?
- 5. AHAH是安全風險嗎?
- 6. 查看公共文件,是否存在大的安全風險?
- 7. 此視圖是否存在安全風險?
- 8. WCF查詢攔截器:此MSDN是否存在安全風險?
- 9. 您認爲會話複製是否存在安全風險?
- 10. WordPress - 安全風險?
- 11. 將用戶會話令牌存儲在localStorage中是否存在安全風險?
- 12. Linux內核模塊 - 安全風險?
- 13. 應用用戶看到Paypal API返回的「payKey」是否存在安全風險?
- 14. 在頁面上放置用戶ID是否存在安全風險?
- 15. 在常規http而不是Https上使用Django管理頁面是否存在安全風險?
- 16. 如果「博主身份證」是公開的,是否存在安全風險?
- 17. 發佈其他用戶的ID是否存在內在風險?
- 18. 可以image.src是一個安全風險?
- 19. 在這種情況下是否存在安全風險設置EnableEventValidation =「false」?
- 20. 安全風險(XSS)的風格屬性
- 21. 詳細的異常/錯誤消息是否存在安全風險?
- 22. 是否將$ _SESSION變量直接放入SQL中存在安全風險?
- 23. 設置SVN二進制文件的SUID/SGID位是否存在安全風險?
- 24. javascript「假隱私」是否構成安全風險?
- 25. 下面的php代碼是否有涉及安全風險?
- 26. phpMyAdmin是否會對生產造成安全風險
- 27. 個人使用泡椒安全風險
- 28. 使用xpath有什麼安全風險?
- 29. 啓用MSDTC的安全風險
- 30. 使用int作爲主鍵存在安全風險嗎?
CSRF可以用來訪問page.ashx idk爲什麼人們認爲值得-3但除我以外沒有其他人,GNUCitizen可以掌握這個簡單的概念。 – rook 2010-04-21 20:03:44