Tôi nghĩ .ASPXAUTH là dành cho xác thực người dùng? Bất cứ ai có thể xác nhận nếu cookie này thực sự là một nguy cơ bảo mật và/hoặc chứa thông tin phiên? Nó thậm chí giả sử được sử dụng hoặc là một số điều gỡ lỗi?Trình kiểm tra thâm nhập nói rằng cookie .ASPXAUTH không an toàn và đang hiển thị dữ liệu phiên?
Trả lời
Tôi nghĩ bạn đã gặp phải một số nhận xét liên quan đến bảo mật Xác thực biểu mẫu. Bạn có thể tìm thêm thông tin tại đây: h ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx
Những gì nó tóm tắt là một hacker thông minh có thể khám phá khóa máy được sử dụng để mã hóa cookeis và tạo cookie giả mạo của chính họ.
Có thể đáng nhắc đến ở đây là các máy chủ được vá lỗi hoàn toàn không còn thể hiện lỗ hổng này nữa: http://technet.microsoft.com/en-us/security/bulletin/MS10-070 – Tao
Thực ra họ không thể phát hiện ra khóa máy trên mỗi se. Họ đã sử dụng các thông báo lỗi của máy chủ để sử dụng máy chủ như một oracle đệm. Sử dụng oracle và brute-force mà họ có thể mã hóa bất kỳ chuỗi nào, một bit tại một thời điểm. Bằng cách xây dựng một yêu cầu được mã hóa cho 'web.config'. Theo mặc định, điều này không chứa phím máy; theo mặc định, nó được tạo cho mỗi ứng dụng trong quá trình, trừ khi bạn tự tạo và định cấu hình khóa. Tuy nhiên, 'web.config' vẫn là một Bad Thing ™. –
- 1. Đâu là .ASPXAUTH cookie
- 2. Công cụ kiểm tra thâm nhập
- 3. ASPXAUTH cookie không được lưu
- 4. cờ an toàn và HttpOnly cho cookie phiên Websphere 7
- 5. .ASPXAUTH cookie hết hạn tại phiên họp cuối
- 6. Trợ giúp phiên CodeIgniter, cookie không an toàn?
- 7. Tornado hết hạn cookie an toàn (còn gọi là cookie phiên an toàn)
- 8. Phiên đăng nhập này có an toàn không?
- 9. cookie an toàn asp.net
- 10. SessionAuthenticationModule Cookie Handler không tạo HttpOnly an toàn cookie
- 11. Đăng nhập an toàn
- 12. Đăng nhập Facebook an toàn?
- 13. Phát triển chiến lược xác thực và đăng nhập PHP an toàn
- 14. Cách kiểm tra an toàn chủ đề
- 15. Cookie đăng nhập/phiên, Ajax và bảo mật
- 16. Phiên PHP an toàn như thế nào?
- 17. Biến an toàn phiên PHP an toàn như thế nào?
- 18. Việc hiển thị mã thông báo bảo vệ CSRF của phiên có an toàn không?
- 19. hệ thống đăng nhập PHP an toàn?
- 20. servlet set cookie có an toàn không?
- 21. Google App Engine - Cookie an toàn
- 22. Kiểm tra kết nối cơ sở dữ liệu, nếu không hiển thị thông báo
- 23. Kiểm tra xem hệ điều hành Windows có đang chạy ở chế độ an toàn không
- 24. Xóa cookie an toàn trong cơn lốc xoáy
- 25. IE8 đang hiển thị trong tài liệu không xác định và chế độ trình duyệt
- 26. Sử dụng Arquillian để kiểm tra an toàn EJB
- 27. Kiểm tra xem cookie có được đặt
- 28. Điều khiển phiên bản an toàn
- 29. Mã an toàn và không an toàn
- 30. RNGCryptoServiceProvider tĩnh - Có an toàn và an toàn cho việc tạo phiên và mật khẩu ngẫu nhiên không?
Từ câu hỏi http://stackoverflow.com/questions/423467/what-is-aspxauth-cookie - .aspxauth không liên quan đến phiên - nó xác định người dùng. –