我有一個診斷日誌可用於在MVC應用程序中查看。如何使異常信息安全
原因是難以訪問服務器,但儀表板類型的應用程序可以幫助工程師更輕鬆地遠程診斷問題。
問題是,這可能會導致滲透測試失敗,因爲該視圖包含異常記錄詳細信息。解決這個問題的一種方法是不允許記錄異常,但這會阻止工程師調查導致錯誤的原因。
那麼,如果MVC應用程序受到威脅,那麼如何確保從窺探中獲得安全?例如,異常日誌記錄包括堆棧跟蹤,其中可能包含有關實施細節的敏感信息,這可能會幫助黑客破壞系統。此外,例外可能包括敏感的數據庫信息。
真的,我們需要某種方式通過可以修剪可能的細節的過濾器來傳遞異常。實現這一目標的最佳/標準方法是什麼?
查看日誌之前強制認證? –
@AlexK。目前沒有對MVC應用程序進行驗證,因爲它位於我們自己的DMZ內的服務器上,因此它不能公開顯示。我們可能會在IIS中添加簡單的Auth登錄。這雖然夠了嗎? – user183872
您可以在網站上應用ip-filter http://forums.iis.net/t/1153158.aspx?How+to+restrict+a+IIS7+web+site+to+a+specific+range+of + IP +地址+ –