Мы все были недавно предупреждены scottgu об этой уязвимости безопасности. http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspxпроблема безопасности asp.net, customErrors
Мне интересно, поскольку я перенаправлял ошибки через Global.asax в событии Application_Error, мне было интересно, хватит ли этого исправления для этой проблемы или мне все еще нужно установить настройки в Интернете .config?
Проблема в том, что (согласно MS) вам нужно отвечать ВСЕГДА таким же образом, независимо от конкретной ошибки.
Вам необходимо перенаправить пользователя на ту же страницу при ошибках 404 и 500. Вот почему самый простой способ - использовать настройку web.config.
Говорят, что это было бы временно, и вы могли бы вернуть его, как только они выпустили патч для этого.
Это Скотт ответ на подобный вопрос:
Я бы рекомендовал временно обновить модуль всегда перенаправление на страницу поиска. Одним из способов этой атаки является поиск дифференциации между 404 и 500 ошибками. Всегда возвращать один и тот же HTTP-код и отправлять их в одно и то же место - это один из способов помочь ему заблокировать его.
Обратите внимание, что, когда исправление исправляется, вам не нужно это делать (и может вернуться к старому поведению). Но сейчас я бы рекомендовал не дифференцировать между 404 и 500 для клиентов.
Отлично, тогда модуль global.asax, который я сделал, работает. он не проводит различия между исключениями. –
Учитывать ошибку 404 (не найден), он не будет пойман глобальным asax –
спасибо claudio, но он его поймает. Я протестировал его. –