ASP.NET保安系列 - 關於elmah.axd的安全設定

ELMAH是一個優秀的ASP.NET錯誤記錄模組，安裝簡便，只需將elmah.dll放到bin目錄下，再適當修改web.config，ELMAH就能在ASP.NET發生例外錯誤(Exception)時，將錯誤訊息、程式碼位置、Query String、Cookie、Client IP、登入身分... 等等偵錯資訊鉅細靡遺地保存下來，並且還提供了網頁查詢介面，可直接透過網站調閱每一則錯誤的細節。

安裝ELMAH後，我們可以設定customErrors，在ASP.NET出錯時，顯示較友善的錯誤訊息給使用者，又同時保存錯誤細節(因為使用者看不到，不必擔心程式碼位置等資訊外洩)，供系統管理人員或開發人員事後追查。關於錯誤資訊的保存，ELMAH支援了 XML檔案、SQL/ORACLE/SQLLite/Access/MySQL資料庫... 等格式，還能提供Email通知，功能頗為完整。

關於ELMAH的安裝與功能，已有好幾位朋友PO過中文介紹(RiCo、demo、Pete .NET)，在此不在多加闡述，僅針對elmah.axd的查詢權限設定做些補充。

預設設定下，elmah.axd並非做太多資安管控，任何人輸入http: //server/elmah.axd都可以檢視錯誤清單。所以一般會透過<security allowRemoteAccess="0" />限定本機查詢，或是利用ASP.NET的<authorization>設定限定非匿名使用者或特定使用者才能存取。常見的寫法如下:

<location path="elmah.axd">

  <system.web>

    <authorization>

      <deny users="?"/>

    </authorization>

  </system.web>

</location>

實地驗證了一下，這種做法有點問題。由於HttpHandler指定的Path會被視為相對網址，換句話說，不管http: //server/elmah.axd 或 http: //server/blah/elmah.axd都可順利存取elmah.axd檢視錯誤。使用location path="elmah.axd"設定只能限定http: //server/elmah.axd必須登入使用，有心人士若在URL上加點料，隨便改成http: //server/whatever/elmah.axd，就能輕鬆繞過安檢哨，大大方方地欣賞網站茶包，挺危險的!

【2011-03-11補充】ASP.NET MVC專案預設會使用/control/action的Routing規則解析URL，/*/elmah.axd被視為無效網址，較無被亂入的危險，但是/a/a/a/elmah.axd的形式就可繞過MVC Routing規則，一樣會有危險。(感謝demo分享)

經過爬文與測試，參考stackoverflow的一篇討論，我試擬了一個較安全的設定方式:

1. 移除原本system.web / httpHandlers (for IIS 6) 及 system.webServer / handlers (for IIS7) 下的<add name="Elmah" verb="POST,GET,HEAD" path="elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" /> 。防止使用者透過http: //server/*/*/elmah.axd等隨意路徑闖入查詢畫面。
2. 在<configuration>加入以下設定(以ASP.NET搭配Windows認證為例)
   

     <location path="debugger">

       <system.webServer>

         <handlers>

           <add name="Elmah" verb="POST,GET,HEAD" path="elmah_blah.axd" 

                type="Elmah.ErrorLogPageFactory, Elmah" />

         </handlers>

       </system.webServer>

       <system.web>

         <httpHandlers>

           <add name="Elmah" verb="POST,GET,HEAD" path="elmah_blah.axd" 

                type="Elmah.ErrorLogPageFactory, Elmah" />

         </httpHandlers>

         <authorization>

           <allow users="DOMAIN\User1, DOMAIN\User2" />

           <allow roles="BUILTIN\Administrators"/>

           <deny users="*" />

         </authorization>

       </system.web>

     </location>

如此，我們可以限定只有使用http: //server/debugger/elmah_blah.axd(或/debugger/*/elmah_blah.axd)才能檢視ELMAH的網頁查詢網頁，而整個debugger目錄限定特定使用者(如: DOMAIN\User1, DOMAIN\User2)或群組(如: BUILTIN\Administrators)可以存取。另外，debugger路徑及elmah_blah.axd可以取成特殊的命名，降低被猜中的機率。

經過上述設定後，應該可以產生不錯的保護效果，如果還有疏漏不足之處，歡迎指教交流。