ASP.Net MVC Form认证漏洞及处理

最新推荐文章于 2024-04-27 22:46:15 发布
最新推荐文章于 2024-04-27 22:46:15 发布
阅读量347 收藏
点赞数
分类专栏: ASP.Net 文章标签: c# visual studio asp.net 产品运营 程序人生 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YongWeiYang/article/details/129162152
版权

如题,项目中用了ASP.Net MVC Form认证,是.Net Framework 4.7的,安全组发现通过下面操作发现安全问题。

在登录状态下用burp抓取请求的数据包,里面包含Cookies等信息。 然后再进行登出操作,注销掉sso。再利用之前的请求包去尝试请求Controler(账户注销后的Cookies仍有效)。

请求的Controler是继承了AuthorizeAttribute,在浏览器页面中访问时正常鉴权的,而且发现AuthorizeAttribute只对浏览器页面访问生效,用接口工具不能触发。

经过一番网上冲浪得知此问题是微软当初设计Form认证时留的坑,登出操作调用FormsAuthentication.SignOut();Session.Clear();Session.Abandon();只能清除客户端的cookies认证信息,并没有方法清除服务端里保存的认证信息,因此若获得了客户端的cookies(里面含有FormsAuthentication生成的ticket认证信息)就可以用如postman等的工具直接访问controler,直到服务端的ticket过期。

为了防止这个安全问题被利用只能自己填坑了,方案如下:

  1. 用SSL加密传输,这很普遍,不加阐述。

  1. 通过利用FormsAuthenticationTicket里的UserData,记录登录时的用户本地信息来确保请求同一个终端用户,代码片段如下:

  • 在登录时记录用户本地信息到ticket的UserData,ticket的生成是经过加密后传给客户端的,所以UserData是安全的:

FormsAuthenticationTicket ticket;

var userData = string.Format("{0}{1}{2}{3}", Request.UserHostAddress, Request.UserHostName, Request.Browser.Platform, Request.Browser.Type);

ticket = new FormsAuthenticationTicket(1, userEntity.UserAccount, now, now.Add(expirationTimeSpan), false, userData, FormsAuthentication.FormsCookiePath);

var encryptedTicket = FormsAuthentication.Encrypt(ticket);

var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

  • 在Application_AuthenticateRequest里与当前请求的用户本地信息做比对,从而防止其他终端用Cookies直接访问。

HttpCookie decryptedCookie =

Context.Request.Cookies[FormsAuthentication.FormsCookieName];

FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(decryptedCookie.Value);

if (Request.IsAuthenticated)

{

var userHostInfo = string.Format("{0}{1}{2}{3}", Request.UserHostAddress, Request.UserHostName, Request.Browser.Platform, Request.Browser.Type);

if (!ticket.UserData.Equals(userHostInfo))

{

Request.Abort();

}

}

因为项目是web应用,只保证页面正常访问即可,到此问题解决。

Will-Yang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net4.7漏洞_ASP.NET安全漏洞
cunfuxiao7305的博客
09-25 1846
asp.net4.7漏洞This has been blogged about over and over. This is another case where if you had UrlScan or any decent security url filter installedon your box, you'd be fine. Certainly it's a problem ...
ASP.NET MVC处理文件上传的小例子
01-21
代码如下:<asp Content ID=”Content2″ ContentPlaceHolderID u201dMainContent” runat=”server”> <h2>Files uploaded to server</h2> ”dialog” title> <% using (Html.BeginForm(“Upload...
详解ASP.NET MVC Form表单验证
10-22
主要为大家详细介绍了ASP.NET MVC Form表单验证,一般验证方式有Windows验证和表单验证,web项目用得更多的是表单验证,感兴趣的小伙伴们可以参考一下
asp.net mvc post 后台model_phpcms v9.6.3 后台几处漏洞分析
weixin_39611769的博客
11-21 259
安装环境windows10 + xmapp xmapp的Apache HTTP端口设为8080调试环境phpstorm + Xdebug + chrome Xdebug helper安装phpcms在xmapp安装文件夹htdocs文件夹内新建一个文件夹,用来放php的程序代码,我的命名习惯是cms名称+版本号,例如在这里我的 命名是phpcms_v9.6.3到phpcms官网下载代码,解压后将...
asp.net2.0的Forms身份验证(转)
weixin_30687051的博客
11-03 49
一.概念在网站中一般都要涉及到用户身份的验证和管理,网站中的用户管理主要分为四个主要部分,分别是用户身份的验证,用户访问权限的验证,用户的管理,用户的角色管理。 以往在写用户验证和管理功能的时候,一般都是由开发人员自己通过SESSION或COOKIE取得用户的身份标识,并到数据库中进行查询进行用户身份的验证。在ASP.NET 2.0 中微软为网页程序的用户验证提供了多种方式,可通过配置文件设置...
ASP.NET MVC 3 :解决 Google Chrome 读取 favicon.ico 错误
Foreach
10-28 2277
今天在使用 ASP.NET MVC 3 时遇到一个小问题,由于在 Google Chrome 中浏览网页时会自动请求 favicon.ico ,所以当没有为网站添加 favicon.ico 时会出现将"favicon.ico" 作为参数传递。 我们可以在 ASP.NET MVC 3 路由注册方法 RegisterRoutes() 中添加如下代码,这样当请求 favicon.ico 时 .net
.net 常用认证方法 forgery token 认证
sqlpeng的博客
12-04 839
常用的在 asp .net 与 MVC .net中常用的就是 from 认证 与 Windows认证。 对于form认证, 我们需要在web.config下面 system.web节点 加入认证配置。 在需要认证的方法 或者 class上面,使用 Authorize 属性方法,不需要认证可以用AllowAnony
会话固定漏洞关于自己的总结思考
weixin_50464560的博客
07-03 255
其实实质上就是攻击者可以通过修改sessionid和受害者的一样,那么攻击者就可以以受害者的身份直接登录网站,不需要用户名和密码。 但是攻击者不知道受害者的sessionid,那么该怎么办呢?可以通过比如某些站点在请求后台任意需要认证的页面都是会调用session()方法,而且sessionid的接收是REQUEST(可以GET也可以POST)方式,那么攻击者可以直接构造http://x.x.x?sessionid=随便一个值,让受害者点击类似这样的链接,就可以拿到他的权限了。要让受害者登陆状态下点你的链接
使用JS对form的内容验证失败后阻止提交
热门推荐
甲骨文进行曲
01-07 3万+
1.form的两个事件submit,提交表单,如果直接调用该函数,则直接提交表单onSubmit,提交按钮点击时先触发,然后触发submit事件。如果不加控制的话,默认返回true,因此表单总能提交。2. JS的校验通过在JS中用document.myform.name.value,来得到用户的每一个输入 ,进行校验,当完全通过时,返回TRUE,反之返回false。3. 页面代
Web应用安全之Response Header里的敏感信息
qq_32915337的博客
10-18 1693
目录 Web应用安全之Response Header 前言 1.1  那些敏感的header 1.2 删除敏感的header 1.2.1 删除server字段 1.2.2 删除X-Powered-By字段 1.2.3 删除 X-AspNet-Version字段 1.2.4 删除X-AspNetMvc-Version     前言 在Kali Linux(http:/
asp.net mvc框架_使用ASP.NET MVC和实体框架防止常见的Web应用程序漏洞
weixin_26722031的博客
07-31 400
asp.net mvc框架Hello, I’m going to talk about three common web application vulnerabilities that every web developer must be familiar with. ^ h ELLO,我要谈的三个常见的Web应用漏洞,每一个Web开发人员必须熟悉。 I’m going to talk ab...
ASP.NET MVC项目源代码设计资料
06-08
ASP.NET MVC项目源代码设计资料
ASP.NET MVC中设置跨域访问问题
10-18
主要介绍了ASP.NET MVC中设置跨域访问问题,需要的朋友可以参考下
ASP.NET MVC5 入门 之登录验证
07-31
功能简单 IDE:VS2013 架构:ASP.NET MVC5 语言:C#
【机器视觉】Segment Anything模型(SAM) C# 推理
cxyhjl的博客
04-26 270
Facebook开源的Segment Anything是一个基于大型预训练模型的计算机视觉工具,它使用一种新的范式来处理图像分割任务。这个范式不依赖于传统的预训练加微调(pretrain+finetune)方法,而是通过提示(prompt)加上预训练的基础模型(foundation model)来实现。Segment Anything的目标是能够处理包括交互式分割、边缘检测、超级像素化、目标提议生...
C#Guid(全局唯一标识符)
ultramand的博客
04-27 351
C# 中用于表示全局唯一标识符的数据类型。它提供了生成、操作和表示唯一标识符的功能,并在许多应用程序中被广泛使用。被设计为全局唯一标识符,用于确保生成的每个标识符在理论上都是唯一的。尽管实际上生成重复的。它是一个128位的值,通常以连字符分隔的32个十六进制数字的形式表示。(全局唯一标识符)是一个常用的数据类型。它用于生成、操作和表示唯一的标识符。是不可变的,一旦创建,其值将不会改变。是非常罕见的,但并不能保证绝对的唯一性。方法都会生成一个不同的。的值,必须创建一个新的。都能提供唯一性和标识性。
C#中的Task:异步编程的瑞士军刀
qq_35320456的博客
04-19 1679
C#中的Task:异步编程的瑞士军刀
C++ 动态链接库DLL创建及使用
最新发布
JYliangliang的博客
04-27 529
完成以上步骤后,可将Dll项目中的 xxx.dll文件生成到应用程序中,可调用xxx.dll、xxx.lib和头文件。① 生成lib和dll文件到本项目目录中(生成到——> \x64\Debug 中)点击右侧项目,右键——添加 ——新建项目(ctrl+shift+a)② 重新生成,出现生成成功字样,生成到本项目的Debug中。,如果不在一个解决方案的文件夹中,请确定指定文件夹。填入项目名称,勾选:将解决方案和项目放在同一目录中。(不修改,默认保存到解决方案目录中)右键解决方案——添加——新建项目。
Flink学习(七)-单词统计
a80C51的博客
04-21 380
Flink是流批一体的框架。因此既可以处理以流的方式处理,也可以按批次处理
asp.net mvc 一般处理程序
08-14
ASP.NET MVC 一般处理程序(General Handler),也称为 ashx 文件,是一种在 ASP.NET MVC 中用于处理特定请求的一种方式。 ASP.NET MVC 一般处理程序继承自 IHttpHandler 接口,它主要用于处理静态文件或非标准的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值