ASP.NET Form Authentication安全漏洞及对策

原创 2004年10月12日 18:02:00

NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)ASP.NET 1.1 (RTM, SP1).

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

Form Authentication被使用时,匿名用户在试图访问被保护的页面如http://localhost/WebApplication2/secret.aspx时会被redirect到登录网页如http://localhost/WebApplication2/login.aspx?ReturnUrl=%2fWebApplication2%2fsecret.aspx.

 

但是如果使用Mozilla,匿名用户可以这样未经认证就访问被保护的页面:http://localhost/WebApplication2/secret.aspx;对IE,可以使用%5C达到类似的效果:http://localhost/WebApplication2%5Csecret.aspx

 

微软在105日发布了What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页以提供针对此安全漏洞的对策。当前的对策主要是如KB887459所描述的那样在Global.asax或其Code-Behind中在Application_BeginRequest中增加检查

 


显然每个Application都需要有这样的检查以应对此安全漏洞。微软还会提供其他的对策,请关注What You Should Know About a Reported Vulnerability in Microsoft ASP.NET网页更新。

 

ASP.NET 2.0 Beta1,并没有此漏洞而是得到404错误。

(转载)ASP.NET Form Authentication安全漏洞及对策

在NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)和A...
  • mdot
  • mdot
  • 2004年10月07日 07:41
  • 707

ASP.NET Form Authentication安全漏洞及对策(转贴)

在NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)和A...
  • gxh973121
  • gxh973121
  • 2004年10月10日 20:01
  • 522

ASP.NET Form Authentication安全漏洞及对策

在NT-Bugtraq的邮件列表上首先报告的Security bug in .NET Forms Authentication适用于ASP.NET 1.0 (RTM, SP1, SP2, SP3)和A...
  • RxitRose
  • RxitRose
  • 2004年10月09日 16:38
  • 856

ASP.NET_FORM表单验证_单点登录_Nomads (FormsAuthentication)

一: ASP.NET 的安全认证模式 Windows, Forms, Passport, None 二: 修改验证模式 修改Web.config     三:...
  • llftc
  • llftc
  • 2011年11月18日 17:14
  • 4131

ASP.NET Authentication - Form Authentication

1.概念 ASP.NET的应用最开始是部署在企业内部,登录之后才能访问。如果用户直接访问非登录页,网站会先校验用户是否已登录,如果答案是否,网站认为当前的访问是未经授权的,网站立即跳转到登录页,登录...
  • afandaafandaafanda
  • afandaafandaafanda
  • 2015年09月08日 16:27
  • 508

ASP.Net 2.0窗体身份验证机制详解(FormsAuthentication) (转载)

ASP.Net 2.0窗体身份验证机制详解(FormsAuthentication) (转载) ASP.Net 2.0窗体身份验证机制详解(FormsAuthentication) ...
  • stuwangjianglin
  • stuwangjianglin
  • 2014年11月12日 11:32
  • 711

ASP.NET Form Authentication - Form Authentication With Directory

1.背景 之前写过一篇关于ASP.NET Form认证与授权相关的博客,介绍了Form认证的基本原理,演示了如果做Form认证。这种认证方式其实是有很大的局限性的: 1)对于企业应用,不需要授权即...
  • afandaafandaafanda
  • afandaafandaafanda
  • 2015年09月10日 16:06
  • 406

ASP.NET Form Authentication - Membership Authentication

1.简介 在 ASP.NET 应用程序中,Membership 类用于验证用户凭据并管理用户设置(如密码和电子邮件地址),提供用户及角色管理功能。Membership 类可以独自使用,或者与 For...
  • afandaafandaafanda
  • afandaafandaafanda
  • 2015年09月11日 14:03
  • 393

Asp.NET MVC用System.Web自带方法写入FormsAuthentication验证

/// /// 登录 /// /// /// 是否保持登录 public static void LogIn(long userId, bool isKeepLogin) { //将us...
  • u011511086
  • u011511086
  • 2017年10月27日 13:50
  • 312

关于ASP.NET MVC中Form Authentication与Windows Authentication的简单理解

一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthe...
  • sundacheng1989
  • sundacheng1989
  • 2013年08月14日 15:45
  • 3759
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ASP.NET Form Authentication安全漏洞及对策
举报原因:
原因补充:

(最多只允许输入30个字)