1. ev
  2. Soru-cevap
  3. ASP.NET Formlar Kimlik Doğrulama Güvenlik Açıkları

ASP.NET Formlar Kimlik Doğrulama Güvenlik Açıkları

2013-04-13 35 views
5

@ slauma'nın bağlantı yanıtıyla (here dahil) @ reach4thelasers tarafından yazılan yanıta çarptığımda bu SO question okuyordum. ASP.NET'in formları kimlik doğrulamasının nasıl genişleyeceği ve uzak makine anahtarının yaklaşık yarım saat içinde nasıl toplanacağı hakkında bir blog yazısı.ASP.NET Formlar Kimlik Doğrulama Güvenlik Açıkları

Blog yayınında, yalnızca bazı belirli şeyleri yapmadıysanız mümkün olduğunu belirten bazı yanıtlar vardı, ancak bu belirli şeylerin ne olduğu konusunda net olmadım (özel bir hata sayfasıyla ilgili bir şey, ancak video herhangi bir hata sayfasına isabet etmedi). Ayrıca, MS'nin bu tür saldırılardan kaçınmak için tavsiyeleri olduğunu da belirtti, ancak tavsiyenin bir bağlantısı yoktu.

Yani, ilk önce, yukarıda bahsedilen gibi istismarı önlemek için bir ASP.NET formları kimlik doğrulama sistemi geliştirirken, neyin gerekli olduğunu açık birileri açıklayabilir mi? İkinci olarak, belirli bir en iyi uygulamanın (varsayılan olarak uygulanmayan) azaltılmasını veya önlenmesini sağlayan ASP.NET'te bilinen herhangi bir iyi bilinen yöntem var mıdır? Finansal veriler içeren bir kamu sitesi yapıyorum, bu yüzden bu benim için ciddi bir endişe kaynağı.

kaynak

2013-04-13 Jeremy Holovacs

+0

Bunun hakkında konuştuğunuza inanıyorum: http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround – Aristos

+0

Ve benzer bir soru benden http://stackoverflow.com/questions/2498599/can-some-hacker-steal-the-cookie-from-a-user-and-login-with-that-name-on- a-web-s – Aristos

+1

Mükemmel. Linkler için teşekkürler. –

cevap

4

Bu zaten uzun zaman önce ele alındı: http://technet.microsoft.com/en-us/security/bulletin/MS10-070

Scott Gu Bu SO soru konunun bazı darbe Is it vulnerable to ASP Padding oracle

Söyleyebilirm kapsayan süre http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx

bu konuda yazmış Ana uzaklaşma, çerçevelerdeki yamaların ve yükseltmelerin, eski bir çerçevede, eski yama seviyesinde, büyük organizasyonların değişim kontrol panolarının tersine gördüğü bir şekilde üretim uygulamalarından ayrılmasından daha az tehlikelidir. Genelde, & yamaları mevcut koddaki güvenlik açıklarından daha fazla güncellendiğinden korkuyorlar.

kaynak

2013-04-13 12:26:52 MatthewMartin

+0

Fantastik. Blog yayınındaki yorumlardan biraz yanıldım. Görünüşe göre geliştiricinin bunu engellemek için harekete geçmesi gerektiğini düşünüyor gibiydi. –

+1

Birkaç yıl önce, 3.5 sürümünün yayınlandığı günlerde ASP.NET 1.0 kurulumunu gördüm. Bu sadece yamalar üzerindeki patolojik korkudan kaynaklanmış olabilirdi. Bu sitenin hala sorunu olabilir, ancak bu tür yamaların çoğunu sunan pencereler güncellemelerini kapatmış olmalılar. Sunucu yöneticilerim çerçeveyi yama yapmak veya güncellemek istediklerini söylediğinde, onlara "lütfen!" Bu işlevin hala çalıştığını kontrol eden bir çalışma anlamına gelse bile. – MatthewMartin

+0

Burada bir kitap yazamıyorum, ancak CCB'lerin çok büyük organizasyonlardaki konumunu daha net bir şekilde açıklamak istiyorum. Çok büyük bir organizasyon için çalışıyorum (27K +) ve ileriye doğru hareket etmek ve yamaları uygulamak yavaştır. Ancak, bunun nedeni öncelikle iki elinize güvenebileceğinizden daha fazla aktörün bulunmasıdır. Büyük bir organizasyonda hiçbir şey "sadece yap ve işe yaramaz - ve eğer yapmazsak, onunla başa çıkmayacağız." Ben öyle çalışmıyor. Bu nedenle, önce daha düşük ortamları yükseltin, iyice test edin ve daha sonra güncellemeler için en yoğun saatleri programlayın. –

İlgili konular

 İlgili konular