个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我们有一个面向外部的应用程序,已由外部安全公司进行了渗透测试。应用程序在ASP.NET MVC4上开发并在IIS8/Windows 2012 Server上运行。
报告的漏洞之一是 ASPXAUTH 不安全。当我检查 cookie 检查器时,有一些带有安全标志的 cookie。但 ASPXAUTH 不是其中之一。
我做了一些研究,并在 web.config 上设置了下面的这些标志
<forms loginUrl="~/Account/Login" timeout="2880" requireSSL="" name="AppName" />
和
<httpCookies httpOnlyCookies="true" requireSSL="true" />
尽管有这些设置,身份验证 cookie 并未标记为安全。我认为这些标志应该足以将应用程序 cookie 标记为安全,但还有一些其他 cookie 也未标记为安全。我不太关心它们,因为它们不包含任何敏感信息。但我想将 ASPXAUTH 标记为安全。
我的问题是,
谢谢。
最佳答案
我发现这段代码可以确保我的身份验证 cookie 的安全。我不记得这个的来源,但如果你将它添加到你的 global.asax 中,它就可以解决问题。我不知道为什么,但标签中的 requireSSL=true 不足以确保其安全。
protected void Application_EndRequest(Object sender, EventArgs e)
{
string authCookie = FormsAuthentication.FormsCookieName;
foreach (string sCookie in Request.Cookies)
{
if (sCookie.Equals(authCookie))
{
// Set the cookie to be secure. Browsers will send the cookie
// only to pages requested with https
var httpCookie = Response.Cookies[sCookie];
if (httpCookie != null) httpCookie.Secure = true;
}
}
}
关于security - ASPXAUTH Cookie 的安全标志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21132912/
29
4
0
您如何保护 .ASPXAUTH token 以便它通过 SSL 发送。 最佳答案 直接来自 msdn docs : To prevent forms authentication cookies fr
我们有一个面向外部的应用程序,已由外部安全公司进行了渗透测试。应用程序在ASP.NET MVC4上开发并在IIS8/Windows 2012 Server上运行。 报告的漏洞之一是 ASPXAUTH
我正在 ASP .NET MVC 2 中开发一个 web 项目。 在这个项目中,我们将一些信息存储在一个 Ecripted cookie(ASPXAUTH cookie)中,以避免需要为每个请求查询数
在 javascript 警报(document.cookie)中;尽管嗅探器显示了 .ASPXAUTH Cookie,但不显示它, 我需要它,因为我有一个到服务器的 AJAX 请求,当用户已经登录时
我不是开发人员,而是渗透测试人员。在基于 .NET 框架的网站上进行渗透测试时,我报告了“不正确的 session 管理”问题。用户正在使用 .ASPXAUTH cookie 进行身份验证。发生的情况
在使用 ASP.Net 表单例份验证时,我遇到了 .ASPXAUTH cookie。我有几个问题: 此 Cookie 的用途是什么? 此 Cookie 的位置在哪里? 最佳答案 ASPXAUTH co
我可以使用JavaScript删除ASP.NET身份验证cookie(.ASPXAUTH)吗?我想在ASP.NET/JavaScript移动应用程序上实现注销功能,而无需往返服务器。但是,由于某些原因
我可以使用JavaScript删除ASP.NET身份验证cookie(.ASPXAUTH)吗?我想在ASP.NET/JavaScript移动应用程序上实现注销功能,而无需往返服务器。但是,由于某些原因
我正在尝试使用在登录时返回 ASPXAUTH cookie 的 .NET 服务器。当我与 Charles 一起观察网络流量时,我肯定会恢复 cookie,但是当我检查 [NSHTTPCookieSto
我们在 .net 中有我们的生产网站和作为网站虚拟应用程序运行的第三方网络应用程序。我的任务是维护网站和第三方应用程序之间的 session 超时。也就是说,只要用户在第三方应用程序上处于事件状态,
我正在使用以下代码创建 ASPXAUTH cookie var authTicket = new FormsAuthenticationTicket(2, model.Name, DateTime.N
我们有一个使用 ASP.NET MVC3 开发的应用程序。由 IBM AppScan 工具完成的渗透测试。 问题已报告,ASPXAUTH 不安全。当我检查浏览器的开发人员工具时,有一些带有安全标志的
我有 2 个应用程序(一个 .NET 和其他具有相同域名的 Angular SPA(.NET 中的 Web 服务)。我需要为这两个应用程序启用 SSO。两个 web.config 都有相同的机器 ke
现在我有一个从 mvc 站点获取数据的 silverlight 应用程序。只要我使用 WebClient 和 GET 请求,一切似乎都没问题。但是,当我使用 HttpWebRequest 和 POST
我使用 asp.net 的通用身份验证基础结构和身份验证控件(登录、注销等) 我的配置: 我希望看到 .ASPXAUTH cookie 会在明年过期,我不应该一次又一次地输入 login\
我有几个关于 ASP.net 和一般安全性的问题。 “授权”cookie 存储在哪里?当我登录系统然后决定注销时,我想这足以从我的浏览器中删除 cookie,但这不起作用。然后我重新考虑这些 cook
很长一段时间以来,我一直在尝试破译 ASP .ASPXAUTH cookie 并使用 PHP 对其进行解密。我的理由很重要,我需要这样做,别无选择。到目前为止,在 PHP 中,我已经成功地从这个 co
由于 Flash 中的错误,我必须使用 ASPXAuth cookie 在 Flash 上传脚本在上传后调用的页面上登录用户。请参阅此页面了解更多信息:Link 我必须将 ASPXAUTH 字符串设为
我正在创建一个托管在启用了表单例份验证的网站下的 Web 应用程序。我在我的身份验证数据库“Admins”中有一个角色。这是我的 Controller 代码: [RequireHttps] [Auth
我有一个奇怪的问题。我想用 javascript 检查 .ASPXAUTH cookie 是否存在。我这样做: authx = document.cookie.indexOf(".ASPXAUTH"
我是一名优秀的程序员,十分优秀!