- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个使用表单成员身份验证的 ASP.NET Web 应用程序。我们最近进行了渗透测试,标记的一个问题是窃取用户帐户的能力。如果 .ASPXAUTH cookie 值是在注销之前从用户复制的,用户可以以不同的用户身份登录,编辑他们的 cookie 以匹配复制的值并获得他们的所有特权。
在注销时我试过:
删除 cookie。我可以成功地做到这一点,但它不会使 FormsAuthenticationTicket 失效。
使用 FormsAuthentication.SignOut()但发现它并不能阻止攻击
我个人不认为这是一个问题,我相信它可能被盗的唯一方法是如果用户设法获得对经过身份验证的用户的访问权限,这表示我需要解决这个问题以安抚渗透测试人员。
任何想法将不胜感激!谢谢
最佳答案
On logging out I have tried: Removing the cookie.
I could successfully do this but it doesn't invalidate the FormsAuthenticationTicket.
实际上,当您删除 cookie 时,您就将它从您的用户那里删除了 - 您无法停用它,因此如果有人得到它,他仍然可以使用它。
解决方案可以是:
在这里阅读更多信息:Can some hacker steal the cookie from a user and login with that name on a web site?
和Form Authentication - Cookie replay attack - protection
和http://support.microsoft.com/default.aspx?scid=kb;en-us;900111
关于c# - FormsAuthenticationTicket 不能在服务器端失效。引起 cookie 回复攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16734201/
我正在寻找一种解决方案,我们可以在其中制作具有很长有效期的 FormsAuthenticationTicket(和相应的 cookie)。这可以通过设置高值或使用滑动过期来实现,但是当网站的应用程序池
我一直在网上搜索并找到了许多奇怪的答案,而且我几乎尝试了所有这些答案。我的问题是这样的。我的登录页面包含: FormsAuthenticationTicket ticket = new FormsAu
这是我在登录成功时调用的函数。 (我对这个 FormAuthentication 很陌生) public static void CreateLoginCookie(User u) { Forms
我正在尝试重新创建我的 cookie,通常由 FormsAuthentication.SetAuthCookie() 生成的 cookie 以及 webconfig 中的内容。
在我的登录页面上,FormsAuthenticationTicket 被设置为带有一些自定义用户数据的持久性 cookie。现在我需要更改此自定义用户数据,因此它包含一个多参数。当以前登录的用户下次访
我正在根据本教程使用表单例份验证为 ASP.Net 4.0 站点实现自定义标识类: Forms Authentication Configuration and Advanced Topics 我想在
我正在努力了解 FormsAuthenticationTicket 类中的 isPersistent 属性的用途。 http://msdn.microsoft.com/en-us/library/ky
我在使用 FormsAuthenticationTicket 创建非持久性 cookie 时遇到问题。我想在票证中存储用户数据,所以我不能使用 FormsAuthentication.SetAuthC
我正在使用 FormsAuthenticationTicket并放置数据并在所有页面之间传递数据。 如果我们不更改任何数据,它将起作用。 所以,现在如果我想更改数据并将其传递给 cookie 并加密,
我正在尝试创建自己的依赖于 FormsAuthentication 的身份验证机制。我基本上使用 OAuth 来允许用户在授权服务器中进行身份验证,一旦他们通过身份验证,我需要使用 FormsAuth
我正在尝试检查用户当前 FormsAuthenticationTicket 的 Expired 属性,以查看身份验证期限是否已过期。但是,当期限到期时,我永远无法获得足够的信息来创建票证以进行检查。我
通常我使用用户的电子邮件地址(唯一),但在我当前的项目中,从 User.Identity.Name 中获取用户全名(非唯一)会更有利。 那么我为身份验证 cookie 名称设置的内容真的很重要吗? 请
当我在应用程序中创建身份验证机制时,我偶然发现了 FormsAuthenticationTicket.Version属性(property)。这些文档没有举例说明任何用例,我也没有发现它在其他地方使用
我已经使用自定义数据存储实现了我自己的自定义 MembershipProvider。到目前为止没有问题。我希望人们使用他们的电子邮件而不是用户名登录。因为我有自己的数据存储,所以这不是主要问题,我可以
我正在写一个 MVC 4 带有 的 Web 应用程序自定义认证授权 .当用户登录该站点时,我创建了一个 FormsAuthenticationTicket 并将其存储在 中 cookies publi
我正在考虑在我的 View 中使用它(Razor 语法)来获取我网站的用户名: @MySite.Helpers.Utils.UserName 这是 utils 类: public class Util
我有一个使用表单成员身份验证的 ASP.NET Web 应用程序。我们最近进行了渗透测试,标记的一个问题是窃取用户帐户的能力。如果 .ASPXAUTH cookie 值是在注销之前从用户复制的,用户可
在下面的方法中,我正在解密一个 cookie 以返回它,其中包含一个用户名。我尝试为它编写一个测试用例,但返回的 cookie 为空,因为它没有登录。谁能帮我写一个测试用例吗? public stri
我使用 FormsAuthenticationTicket 加密密码并将其存储到 session 值,当我检索它时我无法解密密码。 像下面这样加密 string pw="xyz"; F
我在 Logon 方法中设置 FormsAuthenticationTicket 以手动创建身份验证 cookie。如何验证该身份验证 cookie 并将其分配给 Current.User 对象。它是
我是一名优秀的程序员,十分优秀!