我的客户网站www.healthiva.com ..这是在.Net C#中开发的。在global.asax中,我有一个向开发团队发送警报电子邮件的功能,如果在整个应用程序中抛出任何未处理的异常。有时候开发团队会收到像#34;文件' / ivr / VAD_Deploy1.aspx'不存在","文件' / iv / mxm_3cx / mxm30.aspx'不存在" ..我们的应用程序显然没有这些文件&因此错误。现在我担心的是,有人试图通过运行一些脚本来破解我们的网站吗?如果是,请建议一些良好的安全策略..(该网站已使用SSL)..
答案 0 :(得分:1)
我刚刚做了几个测试,看起来你得到这些错误,因为你的应用程序中的其他资源正试图访问这些目录。它不是处理这些错误并提供用户安全的代码,而只是抛出一个默认的服务器错误。你的网站没有遭到黑客攻击 - 它写得很糟糕(对不起,没有冒犯),缺乏足够的日志记录技术。
然而,这并不意味着您仍然100%安全。您可以咨询私人安全专家,也可以在线查看自动化工具来测试您网站的安全性。我建议对OWASP Top 10进行一些研究,以及如何防止这些措施。在尝试更强大的攻击和niché攻击之前,大多数黑客会尝试使用其中一种方法。
编辑:Relevant image showing what happens when the server throws an exception