1. Trang chủ
  2. Câu hỏi và trả lời
  3. Các lỗ hổng xác thực biểu mẫu ASP.NET

Các lỗ hổng xác thực biểu mẫu ASP.NET

2013-04-13 30 views
5

Tôi đã đọc số này SO question khi tôi bị tấn công bởi phản hồi liên kết của @ Slauma (bao gồm here) với câu trả lời đã chọn được viết bởi @ reach4thelasers. Đó là một bài đăng trên blog về cách mở rộng xác thực biểu mẫu của ASP.NET và thu thập chìa khóa máy từ xa trong khoảng nửa giờ.Các lỗ hổng xác thực biểu mẫu ASP.NET

Có một số câu trả lời cho bài đăng trên blog chỉ đề cập đến nếu bạn không thực hiện một số điều cụ thể, nhưng tôi không rõ ràng về những điều cụ thể đó (điều gì đó về trang lỗi tùy chỉnh, nhưng video dường như không nhấn bất kỳ trang lỗi nào). Nó cũng đề cập đến MS đã có khuyến nghị để tránh những loại tấn công, nhưng không có liên kết đến các khuyến nghị.

Vì vậy, trước hết lên, ai đó có thể giải thích rõ ràng những gì là cần thiết, khi phát triển một hệ thống xác thực ASP.NET tạo, để ngăn chặn exploitations như ai đề cập ở trên?

Thứ hai, là có bất kỳ khai thác nổi tiếng khác trong ASP.NET Forms Authentication rằng một thực hành tốt nhất nào đó (mà không được thực hiện theo mặc định) sẽ giảm thiểu hoặc ngăn chặn? Tôi đang xây dựng một trang web công cộng với dữ liệu tài chính, vì vậy đây là mối quan tâm nghiêm túc đối với tôi.

Nguồn

2013-04-13 Jeremy Holovacs

+0

Tôi tin rằng bạn nói về điều đó: http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround – Aristos

+0

Và một câu hỏi tương tự từ tôi là http://stackoverflow.com/questions/2498599/can-some-hacker-steal-the-cookie-from-a-user-and-login-with-that-name-on- a-web-s – Aristos

+1

Tuyệt vời. Cảm ơn các liên kết. –

Trả lời

4

này đã được giải quyết trong một thời gian dài trước: http://technet.microsoft.com/en-us/security/bulletin/MS10-070

Scott Gu viết về nó lúc http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx

Câu hỏi này SO bao gồm một số tác động của vấn đề này Is it vulnerable to ASP Padding oracle

tôi sẽ nói rằng việc lấy đi chính là các bản vá và nâng cấp trong các khung công tác ít nguy hiểm hơn là để lại các ứng dụng sản xuất ở một khung cũ, mức bản vá cũ, thứ mà bảng điều khiển thay đổi của các tổ chức lớn thấy ngược lại. Họ thường sợ các bản vá lỗi & cập nhật nhiều hơn khả năng có lỗ hổng trong mã hiện có.

Nguồn

2013-04-13 12:26:52 MatthewMartin

+0

Tuyệt vời. Tôi có một chút nhầm lẫn bởi các ý kiến ​​trên bài đăng trên blog, có vẻ như ... họ dường như đang đề xuất hành động phải được thực hiện bởi nhà phát triển để ngăn chặn điều này. –

+1

Một vài năm trước, tôi thấy một cài đặt của ASP.NET 1.0 khoảng thời gian phát hành của 3.5 - điều này chỉ có thể xảy ra trong nỗi sợ bệnh lý của các bản vá lỗi. Trang web đó vẫn có thể có vấn đề, nhưng ngay cả ở đó, họ sẽ phải tắt các cập nhật cửa sổ, cung cấp hầu hết các loại bản vá này. Khi quản trị viên máy chủ của tôi nói rằng họ muốn vá hoặc cập nhật khung công tác, tôi nói với họ "vui lòng!" ngay cả khi nó sẽ có nghĩa là một số công việc kiểm tra chức năng đó vẫn hoạt động giống nhau. – MatthewMartin

+0

Tôi không thể viết một cuốn sách ở đây, nhưng tôi muốn giải thích rõ hơn về vị trí của CCB trong các tổ chức rất lớn. Tôi làm việc cho một tổ chức rất lớn (27K +) và họ chậm chạp tiến lên và áp dụng các bản vá lỗi. Tuy nhiên, đó là chủ yếu bởi vì có nhiều diễn viên tham gia hơn bạn có thể đếm trên hai bàn tay. Không có gì trong một tổ chức lớn, "chỉ cần làm điều đó và nó sẽ làm việc - và nếu nó không chúng ta sẽ đối phó với nó." Tôi không làm việc như thế. Vì vậy, trước tiên bạn nâng cấp môi trường thấp hơn, kiểm tra kỹ lưỡng và sau đó lên lịch giờ cao điểm để cập nhật. –

 Các vấn đề liên quan

  • Không có vấn đề liên quan^_^