我的网站被黑了吗？

Question

我有我的客户网站 www.healthiva.com.. 这是用 .Net C# 开发的。在 global.asax 中，如果在整个应用程序中抛出任何未处理的异常，我可以向开发团队发送警报电子邮件。有时开发团队会收到类似“文件 '/ivr/VAD_Deploy1.aspx' 不存在”、“文件 '/ivr/mxm_3cx/mxm30.aspx' 不存在”之类的电子邮件。我们的应用程序显然没有这些文件＆因此错误。现在我担心的是，是否有人试图通过运行一些脚本来破解我们的网站？如果是，请提出一些好的安全策略..（该网站已经使用 SSL）..

Answer 1

你很安全

我刚刚进行了几次测试，您似乎遇到了这些错误，因为您的应用程序中的其他资源正在尝试访问这些目录。它不是处理这些错误并提供用户安全代码，而是简单地抛出一个默认的服务器错误。您的网站没有被黑客入侵 - 它只是写得不好（抱歉，没有冒犯）并且缺乏足够的日志记录技术。

然而，这并不意味着你仍然是 100% 安全的。您可以咨询私人安全专家，也可以在线查看自动化工具来测试您网站的安全性。我建议为此对OWASP Top 10 进行一些研究，以及如何防止这些措施。大多数黑客会先尝试其中一种方法，然后再尝试更强大和更小众的攻击。

编辑：Relevant image showing what happens when the server throws an exception