asp.net安全问题,customErrors

时间:2010-09-21 01:52:12

标签: asp.net security

我们最近都被scottgu警告过这个安全漏洞。 http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

我想知道,因为我在Application_Error事件中通过Global.asax重定向错误,我想知道这是否足以解决此问题,或者我是否仍需要在web.config上设置一个设置?

1 个答案:

答案 0 :(得分:2)

问题在于(根据MS),无论您遇到什么具体错误,都需要以相同的方式回答ALWAYS。

您需要将用户重定向到错误404和500的同一页面。这就是为什么最简单的方法是使用web.config设置。

他们说这是暂时的,你可以在他们为此发布补丁后还原它。

这是斯科特对类似问题的回答:

  

我建议暂时更新模块,以便始终重定向到搜索页面。此攻击的工作方式之一是寻找404和500错误之间的区别。始终返回相同的HTTP代码并将它们发送到同一个地方是帮助阻止它的一种方法。

     

请注意,当修补程序出来修复此问题时,您不需要执行此操作(并且可以恢复为旧行为)。但就目前而言,我建议不要将404s和500s区分给客户。