Restringir acceso a _layouts/viewlsts.aspx para usuarios anónimos

Hace un tiempo comentaba que existen un montón de sitios web desarrollados en SharePoint que no protegen correctamente el acceso a las páginas de administración. Si realizamos la siguiente búsqueda en Google:

site:*/_layouts/viewlsts.aspx

encontraremos una larga lista de sitios desarrollados en SharePoint que nos muestran sus entrañas y alguna que otra sorpresa (listas de contactos totalmente desprotegidas).

Hoy os quiero dejar un sencillo truco para evitar esta situación. Únicamente se trata de proteger estas páginas evitando que Google las indexe y que los usuarios curiosos puedan acceder a ellas.

Simplemente basta con añadir las siguientes líneas en el fichero web.config de la aplicación:

<location path="_layouts/viewlsts.aspx">
  <system.web>
    <authorization>
      <deny users="?" />
    </authorization>
  </system.web>
</location>

Antes de modificar este fichero, os recomiendo hacer una copia de seguridad.

Anuncios

2 comments

  1. Hola!
    Sólo comentar que si la web tiene acceso anónimo y una parte de acceso privado cuando pones eso en el web.config lo que hace es redireccionarte a la pantalla de login (en caso de autenticación por forms) en vez de sacarte una pantalla de acceso denegado o error.
    No sé cómo hacer para que no rediriga al login así que si alguien sabe… gracias!
    Un saludo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s