我在读这个问题的时候，被@slauma的链接回复(包括在这里)击中了，@reach4thelasers写的选择答案。这是一篇关于如何在大约半小时内破解ASP.NET窗体身份验证并收集远程计算机密钥的博客文章。

对博客文章的一些回复提到，只有当你没有做一些具体的事情时，这才是可能的，但是我不清楚这些具体的事情是什么(关于自定义错误页面的一些内容，但是视频似乎没有命中任何错误页面)。它还提到微软有避免此类攻击的建议，但与建议没有联系。

因此，首先，有人能清楚地解释在开发ASP.NET窗体身份验证系统时，为了防止像上面提到的那样的利用，有什么必要吗？

第二，在ASP.NET窗体身份验证中，是否存在其他已知的漏洞，某些最佳实践(默认情况下未实现)将减轻或防止这些漏洞？我正在用财务数据建立一个公共网站，所以这是我非常关心的。

这在很久以前就已经解决了：http://technet.microsoft.com/en-us/security/bulletin/ms10-070

顾世杰在当时写了这篇文章：http://weblogs.asp.net/scott gu/archive/2010/09/28/asp-net-security-update-now-available.aspx

所以这个问题涵盖了一些影响这个问题是否容易受到ASP填充Oracle的攻击

我想说，主要的好处是，框架中的补丁和升级比将生产应用程序留在旧框架、旧补丁级别要危险得多，而大型组织的变更控制委员会恰恰相反。他们通常更担心补丁和更新，而不是现有代码中存在漏洞的可能性。