none
用 ASP.NET MVC 開發變成檔案洩漏風險? RRS feed

  • 問題

  • Hi,各位好

    我有一個系統是使用 ASP.NET MVC 4 所開發的

    其中一支個人資料 Route 是這樣設定 "/UserData/{UserName}"

    "/UserData/Jack" => 假設有Jack,會顯示詳細資料

    "/UserData/Mary" => 假設無Mary,會顯示查無此人

    但在系統上線後,客戶找了 風險掃描軟體,說這個頁面有檔案洩漏風險

    他的測試報告是這樣

    "/UserData/123.zip" => 回應 http 200 ,代表有檔案洩漏風險

    "/UserData/123.rar" => 回應 http 200 ,代表有檔案洩漏風險

    "/UserData/123.tar" => 回應 http 200 ,代表有檔案洩漏風險

    問題是...那個 {UserName} 本來就可以輸入任意文字...

    頁面要顯示 "查無此人" 理所當然也是回應 http 200

    請問有辦法避開這條風險報告嗎?

    2014年5月22日 上午 02:36

解答

所有回覆