测试客户网站: 阿里云主机, php+asp.net 环境, 避免错误页面输出网站路径, 导致路径泄露, 继而被攻击者获取网站相关权限, 拖库导致核心会员资料数据泄露 。
<configuration> <system.webServer> <!--http请求404 避免错误信息输出暴漏网页路径, 避免被进一步攻击--> <httpErrors errorMode="DetailedLocalOnly"> <remove statusCode="404" /> <error statusCode="404" path="/404.html" responseMode="ExecuteURL" /> </httpErrors> </system.webServer> <!--应用程序轻微漏洞--> <system.web> <customErrors mode="RemoteOnly" defaultRedirect="error.html"/> </system.web> </configuration>
