网站访问者是否有任何方式可以查看aspx.cs文件的内容?只是想知道所有循环漏洞,断裂或其他什么.
你可能无意中造成了一个漏洞.例如,如果某个页面或处理程序盲目地将文档流式传输到客户端.我见过人们实现这样的事情:
public class Download : IHttpHandler {
public void ProcessRequest (HttpContext context)
{
context.Response.WriteFile( context.Server.MapPath( context.Request.Params["file"] ) );
}
public bool IsReusable { get { return false; }
}
}调用此(例如download.ashx?file=web.config)将您站点中的任何文件流式传输到客户端.
根据站点(和服务器)的安全设置,我认为甚至可以通过清除web.config中的处理程序部分并添加一些更宽松的处理程序来禁用保护源代码和配置文件的默认处理程序.
| 归档时间: |
|
| 查看次数: |
550 次 |
| 最近记录: |