처리되지 않은 ASP.NET 오류

Question

Windows 서버 2008 및 IIS에서 프로덕션 환경에서 실행되는 ASP.NET에 문제가 있습니다.

최근 내 log4net 파일에 일일 오류 1000 개가 표시되었습니다 (global.asax 응용 프로그램 오류 이벤트에서 생성).

웹 사이트 또는 외부 리소스가 502 불량 게이트웨이 응답을 생성하는 것처럼 보입니다.

Machine: CYSERVER Framework Version: 4.0.30319.2045 
Assembly Version: 6.5.5498.37473 
Source: http://www.domain.com/Error.aspx?404;http://www.domain.com:80/%3Chtml%3E%3Chead%3E%3Ctitle%3E502%20Bad%20Gateway%3C/title%3E%3C/head%3E%3Cbody%20bgcolor= 
Exception: System.Web.HttpRequestValidationException (0x80004005): A potentially dangerous Request.RawUrl value was detected from the client (="/ 

나는 또한 오류의 원인을 시도하고 찾아 IIS 로그를 설정 한 : 원인을 파악하는 방법에 대한

2015-01-21 09:39:01 W3SVC2 CYSERVER 62.40.246.26 GET /<html><head><title>502+Bad+Gateway</title></head><body+bgcolor= - 80 - 5.28.182.46 
    HTTP/1.1 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/39.0.2171.95+Safari/537.36 ASP.NET_SessionId=l0lfplkbzy42gbt0lktetg5b;+__utma=269413869.1923211166.1367695371.1418038854.1421229175.11;+__utmc=269413869;+__utmz=269413869.1421229175.11.11.utmcsr=TF|utmccn=(not%20set)|utmcmd=pop|utmctr=Register1_aspx;+_TrackIt 
    http://www.domain.com/Register1.aspx?affiliateId=1 
    www.domain.com 302 0 0 449 915 137 

모든 팁을?

Answer 1

분명히 Register1.aspx가 소스라고합니다. 이 페이지의 입력을 검증하고 위생 처리하십시오. HTML 인코딩을 사용하십시오. 요청시 수신 된 입력의 특수 문자를 감지하고 크로스 사이트 스크립팅 공격에 의문을 표시합니다. 입력 삭제로 문제를 해결하고 ValidateRequest = "false"솔루션을 사용하지 마십시오. 자세한 내용 확인 https://www.owasp.org/index.php/ASP.NET_Request_Validation

또한 어떤 매개 변수가 실패했는지 확인하기 위해 확장 유효성 검사기를 작성하고 동일한 문제가있는 다른 페이지가 무엇인지 잘 모르는 경우 동일한 로그를 기록 할 수도 있습니다.