.NET代码审计之bin目录任意访问

0x01 案例一

bin目录在.NET下默认不允许通过HTTP请求访问，如果想设置能访问的话，通过移除<requestFiltering>标签内的<hiddenSegments>即可，黑盒扫描的时候记得要扫一下bin目录，白盒审计时需注意如下代码片段

<system.webServer>
    <directoryBrowse enabled="true" />
    <security>
      <requestFiltering>
        <hiddenSegments>
          <remove segment="bin" />
        </hiddenSegments>
      </requestFiltering>
    </security>
  </system.webServer>

0x0n 知识星球

为了庆祝公众号粉丝突破5K，星球提供优惠劵立减【￥30】 ，加入星球每天只需要1块钱不到，就可以让自己从.NET小白成为高手，因为星球里的资料和教程很少在市面上广泛传播，价值完全划算，对.NET关注的大伙请尽快加入我们吧！

dotNet安全矩阵知识星球 — 聚焦于微软.NET安全技术，关注基于.NET衍生出的各种红蓝攻防对抗技术、分享内容不限于 .NET代码审计、 最新的.NET漏洞分析、反序列化漏洞研究、有趣的.NET安全Trick、.NET开源软件分享、. NET生态等热点话题、还可以获得阿里、蚂蚁、字节等大厂内推的机会。