个人中心
gpt4 book ai didi

security - Page_load 方法可能会泄露服务器端的条件值,从而使用户能够从另一个网站进行跟踪

转载 作者:行者123 更新时间:2023-12-04 08:52:11 27 4
gpt4 key购买 nike

我在对我的解决方案进行 Checkmarx 扫描时遇到跨站点历史记录操作问题。
我得到的问题是:
xyz\abc.aspx.cs 第 40 行的 Page_Load 方法可能会泄漏服务器端条件值,从而使用户能够从其他网站进行跟踪。这可能构成隐私侵犯。
这是代码,我在网上收到错误消息 (*) 

protected void Page_Load(object sender, EventArgs e)
    {
        try
        {
            lblErrorMsg.Text = "";
            lblErrorMsg.Visible = false;

            if (!IsPostBack)
            {
                //Code to get the content page name.
                string[] strPageInfo = HttpContext.Current.Request.ServerVariables.GetValues("PATH_INFO");
                string strPage = strPageInfo[0].Substring(strPageInfo[0].LastIndexOf('/') + 1, ((strPageInfo[0].Length - strPageInfo[0].LastIndexOf("/")) - 1)).ToLower();

                msg.MessageText = "Verifying access";
                oLogger.LogInfo(msg, "Verifying access");

                //firstly, check whether the logged-in user is authorized to view the page
                ManageAuthorization.CheckAccess(strPage, out BoolAccess);

                if (BoolAccess)
                {
                    msg.MessageText = "Authorized to perform operations";
                    oLogger.LogInfo(msg, "Authorized to perform operations");
                }
                else
                {
                    ////display unauthorized screen
                    msg.MessageText = "Unauthorized to perform operations";
                    oLogger.LogWarning(msg, "Unauthorized to perform operations");
                    RNGCryptoServiceProvider provider = new RNGCryptoServiceProvider();
                    var byteArray = new byte[4];
                    var randomInteger = BitConverter.ToUInt32(byteArray, 0);
                    Response.Redirect(String.Format("../Default/Unauthorized.aspx?r={0}",randomInteger),true);
                }
            }
        }
        catch (Exception ex)
        {
            msg.MessageText = "Error while loading the page, Exception is:" + ex.Message;
            oLogger.LogMessage(LogCategory.Error, msg);
        }
    }
我没有得到任何正确的答案,我该如何解决这个问题,请任何人帮忙。提前致谢 :)

最佳答案

Checkmarx 将此标记为漏洞,因为威胁代理可能会破坏浏览器的 SOP并可能通过事件推断泄露用户信息。
要解决此问题,您需要在重定向中添加一个随机值:

msg.MessageText = "Unauthorized to perform operations";
oLogger.LogWarning(msg, "Unauthorized to perform operations");

RNGCryptoServiceProvider provider = new RNGCryptoServiceProvider();
var byteArray = new byte[4];
provider.GetBytes(byteArray);
var randomInteger = BitConverter.ToUInt32(byteArray, 0);

Response.Redirect(String.Format("../Default/Unauthorized.aspx?r={0}", randomInteger), true);

关于security - Page_load 方法可能会泄露服务器端的条件值,从而使用户能够从另一个网站进行跟踪,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64046701/

27 4 0
文章推荐: java - 使用 Spring Boot 缓存用户详细信息
文章推荐: cgal - 是否有 CGAL 函数可以检查点是否在带孔的线性多边形内?
文章推荐: firebase - 类型 'UploadMappingFileTask' 属性 'googleServicesResourceRoot' 没有配置值
文章推荐: python - 如何删除 .txt 文件中的重复项
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com