远程访问服务器端页面

Access to server side pages remotely

提问人:hackproof 提问时间:3/18/2023 更新时间:3/18/2023 访问量:26

问:

我有一个在 Windows 2012r2 上运行 IIS 8.5 的网站,该应用程序是用 ASP.NET 编写的,这个黑客能够访问后端页面、窃取会话并以某种方式远程发布到它们。

我们有一个社交网络网站,其中包含个人资料、消息、墙壁等,他能够以某种方式绕过所有后端安全。我已经想尽一切办法把他拒之门外。我的 Web 配置具有这些设置。但这些都行不通。我的网站是 SSL,并且要求启用 SSL。

<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload"/> <add name="X-Content-Type-Options" value="nosniff"/> <add name="X-Frame-Options" value="DENY"/> <add name="X-XSS-Protection" value="1; mode=block"/>

我在这里一筹莫展。我该怎么办?

我已经尝试了我能想到的一切,我在这里没有想法。

asp.net Windows 安全

评论

0赞 Albert D. Kallal 3/18/2023
像这样的安全问题需要一本书般的回答,我们需要服务器设置的所有细节。首先,是否启用了 FTP?也许该站点存在一个糟糕且简单的FTP密码,并且该人没有入侵 asp.net 站点,但实际上正在使用FTP并拥有该密码。我会为初学者关闭 FTP。然而,这远远超出了像 Stack Overflow 这样的简单 Q+A 论坛。不知道更糟糕的是,没有适当的 asp.net 技能,或者认为这么简单的答案可以在像 SO 这样的 Q+A 论坛上得到。(你显然在这里不知所措)。
0赞 hackproof 3/18/2023
服务器位于安全 NOC 的防火墙后面,因此这不是问题所在。防火墙阻止所有不属于我的 IP 访问 FTP 服务。
0赞 FiddlingAway 3/19/2023
也许您的文件被感染了,整个服务器都从内部受到损害。也许您有一个错误/泄漏的文件上传器,而攻击者只是在使用他们之前上传的内容。

答: 暂无答案

上一个:.aspxauth 重播问题 burpsuite

下一个:在 ASP.NET Framework 4.8 中使用 Parameters.xml 和 setparameters.xml在 Web.Config 中配置动态 IP 安全性