ASP.NET Form Authentication安全漏洞及对策

最新推荐文章于 2023-02-22 15:36:45 发布
最新推荐文章于 2023-02-22 15:36:45 发布
阅读量1k 收藏
点赞数
分类专栏: .NET(C#) 文章标签: asp.net authentication microsoft application mozilla redirect
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RxitRose/article/details/129650
版权

NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)ASP.NET 1.1 (RTM, SP1).

 

Form Authentication被使用时,匿名用户在试图访问被保护的页面如http://localhost/WebApplication2/secret.aspx时会被redirect到登录网页如http://localhost/WebApplication2/login.aspx?ReturnUrl=%2fWebApplication2%2fsecret.aspx.

 

但是如果使用Mozilla,匿名用户可以这样未经认证就访问被保护的页面:http://localhost/WebApplication2/secret.aspx;对IE,可以使用%5C达到类似的效果:http://localhost/WebApplication2%5Csecret.aspx

 

微软在105日发布了What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页以提供针对此安全漏洞的对策。当前的对策主要是如KB887459所描述的那样在Global.asax或其Code-Behind中在Application_BeginRequest中增加检查

  

    if (Request.Path.IndexOf('//') >= 0 ||
        System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) 
    {
        throw new HttpException(404, "not found");
    }

显然每个Application都需要有这样的检查以应对此安全漏洞。微软还会提供其他的对策,请关注What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页更新。

 

ASP.NET 2.0 Beta1,并没有此漏洞而是得到404错误。

RxitRose
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全漏洞——身份验证绕过
m0_61506558的博客
10-11 5201
身份验证绕过是现代web应用程序中普遍存在的问题,但这类漏洞不容易发现。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改进,但仍然可能包含严重的漏洞。无论是业务逻辑漏洞还是其他软件缺陷,都需要敏锐的眼光来审视。0x01 刷新令牌接口的配置错误在这个漏洞中,用户一旦使用有效凭证登录到应用程序,它就会创建一个在应用程序其他地方使用的承载身份验证令牌。该认证令牌在一段时间后过期。就在过期之前,应用程序从接口。
五种常见的ASP.NET安全缺陷
Dean's Document Center
07-08 1718
保证应用程序的安全应当从编写第一行代码的时候开始做起,原因很简单,随着应用规模的发展,修补安全漏洞所需的代价也随之快速增长。根据IBM的系统科学协会(Systems Sciences Institute)的研究,如果等到软件部署之后再来修补缺陷,其代价相当于开发期间检测和消除缺陷的15倍。   为了用最小的代价保障应用程序的安全,在代码本身的安全性、抗御攻击的能力等方面,开发者应当担负更多的责任
(转载)ASP.NET Form Authentication安全漏洞对策
mdot的专栏
10-07 990
在NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)和ASP.NET 1.1 (RTM, SP1). 当Form Authentication被使用时,匿名用户在试图访问被保护的页面如http://localhost/WebApplication2
Asp.net 如何跳过基于表单的身份验证(authentication)
qq_18932003的博客
01-06 488
asp.net webform aspx
ASP.NET 表单验证漏洞
tangle的专栏
10-14 1022
What You Should Know About a Reported Vulnerability in Microsoft ASP.NETPublished: October 5, 2004 | Updated: October 7, 2004Microsoft is continuing to investigate a reported vulnerability in Micr
ASP.NET Core Authentication认证实现方法
12-17
追本溯源,从使用开始   首先看一下我们通常是... services.AddAuthentication(authOpt => { authOpt.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; authOpt.DefaultChallengeScheme =
asp.net 特定目录form验证
01-02
就想将这个form验证运用到我作的网站上去,这样也可以增强一点网站的基础安全性。 今天上午,来到公司开始上网查找资料,学习form验证,因为我做的那个网站框架已经设计好了,需要对后台进行验证,后台的所有文件是...
ASP.NET Core安全概述
04-09
本文概述了ASP.NET Core安全功能。
ASP.NET中的RegularExpressionValidator
04-05
ASP.NET RegularExpressionValidator
ASP.Net MVC Form认证漏洞及处理
WinsonYang的专栏
02-22 337
只能清除客户端的cookies认证信息,并没有方法清除服务端里保存的认证信息,因此若获得了客户端的cookies(里面含有FormsAuthentication生成的ticket认证信息)就可以用如postman等的工具直接访问controler,直到服务端的ticket过期。请求的Controler是继承了AuthorizeAttribute,在浏览器页面中访问时正常鉴权的,而且发现AuthorizeAttribute只对浏览器页面访问生效,用接口工具不能触发。用SSL加密传输,这很普遍,不加阐述。
ASP.NET 7.0 如何禁止身份验证方案全局默认生效
Surbowl的博客
12-09 330
从 .NET 7 开始,在 ASP.NET Core 中注册单个身份验证方案后,该方案就将被视为默认方案,全局生效,但有如果我们并不希望对所有 Action 都进行身份验证,可以设置 SuppressAutoDefaultScheme = true,使 AddAuthentication 的行为与 .NET 6.0 一致
ASP.NET常见漏洞
www.i201314.net
07-16 5205
未隐藏错误讯息  开发人员常会将方便排错,但正式上线时却忘了移除,导致一旦程序出错,相关程序代码细节甚至程序片段就赤裸裸地展示出来。黑客可能由其中找到相关的文件位置、数据库信息、组件版本... 等信息,提供入侵的指引。关闭Request Validation  依Hunt的统计,近30%的网站豪迈地关闭了全站的Request验证。若真有需要,针对页面关闭就好,至少伤害面变小,但如果心有余力,避
Web安全之认证及验证机制失效类漏洞详解及预防
路多辛的所思所想
02-08 509
对登录成功后下发的 token 需要保证足够的随机性,比如采用足够强的随机数生成算法生成 token,用户登录完成后要生成新的 token 并且给 token 设置一个合理的有效期(例如十分钟、半个小时、一个小时等,时间不宜过长),token 要安全保存,用户长时间不操作或者退出系统要销毁 token。提高密码的复杂度,例如要求密码长度8位以上,区分大小写字母,为大写字母、小写字母、数字、特殊符号中两种及以上的组合,不要有连续的字符比如1234abcd,尽量避免出现重复的字符比如1111。
ASP.net 资源请求漏洞利用工具PadBuster
weixin_34223655的博客
07-26 295
2019独角兽企业重金招聘Python工程师标准>>> ...
asp.net认证 (authentication) 和授权 (authorization)
qqqgg的专栏
05-12 5195
1.authorization是用过的,用于访问webapi是否有访问权限。在默认管道模型的Module里,有3个(authentication)和2个authorization的Module <httpModules>            <add name="OutputCache" type="System.Web.Caching.OutputCacheModule" /...
ASP.NET 未被授权访问所带来的问题的解决方法。
恐惧让你沦为囚犯,希望让你重获自由!
07-26 2215
ASP.NET 未被授权访问所请求的资源。请考虑授予 ASP.NET 请求标识访问此资源的权限。AS  在windows 2003下安装了VS2003,在运行web应用程序的时候出现一下错误:对路径“D:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/Temporary ASP.NET Files/test/db58b339/50f84c0”的访问被拒绝。 
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 701
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
保护 ASP.NET 应用的安全
weixin_34249367的博客
08-05 79
  这里很多人都有丰富的ASP.NET web应用开发经验,但是可能有很多人对应用的安全没有足够的重视,下面就ASP.NET的安全问题做一个简要的叙述。 1.   概述 1.1. 配置文件 在创建Asp.net的应用时,Asp.net为我们提供了配置文件来配置session state、授权和认证等等。有两个配置文件: (1)       Maching.config——用来定义s...
asp.net Authentication
最新发布
12-10
ASP.NET身份验证是一种用于验证用户身份的机制,它可以确保只有经过身份验证的用户才能访问应用程序的受保护部分。ASP.NET Core提供了多种身份验证方式,包括Cookie身份验证、JWT身份验证、OpenID Connect身份验证等。其中,Cookie身份验证是最常用的一种方式。 以下是ASP.NET Core中使用Cookie身份验证的示例代码: 1. 在Startup.cs文件的ConfigureServices方法中添加身份验证服务: ```csharp services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { options.LoginPath = "/Account/Login"; options.LogoutPath = "/Account/Logout"; }); ``` 2. 在Startup.cs文件的Configure方法中启用身份验证中间件: ```csharp app.UseAuthentication(); ``` 3. 在需要进行身份验证的Controller或Action上添加[Authorize]特性: ```csharp [Authorize] public class HomeController : Controller { // ... } ``` 4. 在登录Controller中使用SignInAsync方法进行登录: ```csharp public async Task<IActionResult> Login(LoginViewModel model) { // 验证用户名和密码 if (/* 验证通过 */) { // 创建用户标识 var claims = new List<Claim> { new Claim(ClaimTypes.Name, model.UserName) }; var identity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme); // 登录 await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity)); // 跳转到首页 return RedirectToAction("Index", "Home"); } // 验证失败,返回登录页面 return View(model); } ``` 5. 在注销Controller中使用SignOutAsync方法进行注销: ```csharp public async Task<IActionResult> Logout() { await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme); return RedirectToAction("Index", "Home"); } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值