描述:启用ASP. NET跟踪
当ASP.NET启用跟踪功能时,这是一种在开发过程中用于调试问题的功能。它会向用户公开敏感信息,如果在生产环境中启用,可能会对安全构成严重威胁。
应用级别的跟踪功能可以让任何用户检索有关最近对应用提出的请求的详细信息,包括其他用户的请求。这些信息通常包括会话令牌和请求参数,它们可以使攻击者攻击其他用户,甚至控制整个应用。
页面级别的跟踪功能返回相同的信息,但仅涉及当前请求。这其中可能仍包含会话和服务器变量中的敏感数据,这些数据对攻击者很有用。
补救措施:启用ASP.NET跟踪
要禁用跟踪,请打开应用程序的Web.config文件,并在<system.web>节内找到<trace>元素。将enabled属性设置为"false"(以禁用跟踪),或者将localOnly属性设置为"true"(以仅在服务器上启用跟踪)。
请注意,即使以这种方式禁用了跟踪,各个页面也可以在ASP.NET页面的Page指令中或在应用程序代码中通过编程方式打开页面级跟踪。如果您仅在某些应用程序页上观察到跟踪输出,则应查看页源和代码,以查找出现跟踪的原因。
强烈建议您参考平台与此问题相关的文档,不要仅依赖上述补救措施。
原文始发于微信公众号(张无瑕思密达):什么是ASP.NET启用跟踪?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论