ASP.NET Forms Authentication Vulnerabilities
我在读这个问题的时候,被@slauma的链接回复(包括在这里)击中了,@reach4thelasers写的选择答案。这是一篇关于如何在大约半小时内破解ASP.NET窗体身份验证并收集远程计算机密钥的博客文章。
对博客文章的一些回复提到,只有当你没有做一些具体的事情时,这才是可能的,但是我不清楚这些具体的事情是什么(关于自定义错误页面的一些内容,但是视频似乎没有命中任何错误页面)。它还提到微软有避免此类攻击的建议,但与建议没有联系。
因此,首先,有人能清楚地解释在开发ASP.NET窗体身份验证系统时,为了防止像上面提到的那样的利用,有什么必要吗?
第二,在ASP.NET窗体身份验证中,是否存在其他已知的漏洞,某些最佳实践(默认情况下未实现)将减轻或防止这些漏洞?我正在用财务数据建立一个公共网站,所以这是我非常关心的。
这在很久以前就已经解决了:http://technet.microsoft.com/en-us/security/bulletin/ms10-070
顾世杰在当时写了这篇文章:http://weblogs.asp.net/scott gu/archive/2010/09/28/asp-net-security-update-now-available.aspx
所以这个问题涵盖了一些影响这个问题是否容易受到ASP填充Oracle的攻击
我想说,主要的好处是,框架中的补丁和升级比将生产应用程序留在旧框架、旧补丁级别要危险得多,而大型组织的变更控制委员会恰恰相反。他们通常更担心补丁和更新,而不是现有代码中存在漏洞的可能性。