我有一个关于Form authentication
Cookie漏洞的问题。在JavaScript中,我们可以使用document.cookie来访问表单身份验证cookie值(假设它不是httponly)。该值已加密。我曾在很多博客中读到,如果有人得到这个价值,我们的安全就会被破坏。我的问题是,他(攻击者)如何破坏它(cookie内的凭证),因为表单身份验证加密方法使用机器密钥来加密该cookie,因此要解密它,将需要相同的机器密钥?不是吗?您能否澄清一下,由于攻击者应该只有我的机器密钥才能解密,因此该cookie的脆弱性如何?我在这里吗?表单身份验证Cookie漏洞
0
A
回答
2
焉能(攻击者)违反它,因为表单认证加密
他没有解密加密的Cookie(饼干里面的凭据)。他可以使用cookie的加密值并成为你。
服务器执行加密,所以它不知道给它的cookie的浏览器是cookie最初发给谁的。
使用类似Modify This Cookie(或任何其他可实现该功能的扩展名)的扩展名将允许我将cookie设置为您的加密值(如果我能够获得该值)。
具有讽刺意味的是,the very same question被问及StackOverflow。看看特洛伊的帖子,了解更多信息。
1
我做了什么,不知道它实际上有多大帮助,但我从未见过任何违规行为(尽管有100次尝试)是将cookie与IP地址配对,这意味着如果呼叫来自与先前呼叫相同的IP地址,我会查找它,如果不是,则会重置Cookie,您必须重新登录。这对所有网站来说都不是完全可行的,但在我看来,增加一些安全措施而不是允许移动性更重要。
这种方法可能是MITM攻击很好suceptible,但你永远无法保护自己免受除非你有怪物预算有关性能和可访问所有的可能性,并没有任何限制。
相关问题
- 1. 表单身份验证和身份验证票据Cookie域
- 2. 表单身份验证Cookie替换
- 3. 表单身份验证Cookie和WCF
- 4. 身份验证Cookie
- 5. 基于不依赖表单身份验证的基于Cookie的身份验证
- 6. DownloadManager与Cookie身份验证
- 7. OWIN Cookie身份验证
- 8. Cookie和身份验证-ASP.net
- 9. ASP.NET身份验证Cookie
- 10. GWT RPC Cookie身份验证
- 11. 身份验证Cookie到期
- 12. Angular 2 cookie身份验证
- 13. ASP.NET MVC身份验证Cookie
- 14. 两个身份验证cookie
- 15. 基于Cookie的表单身份验证与Cookie被禁用
- 16. Sharepoint表单身份验证
- 17. 表单身份验证
- 18. 表单身份验证?
- 19. requiressl表单身份验证
- 20. Ajax:HTTP基本身份验证和身份验证Cookie
- 21. 表单身份验证票证是在cookie中存储密码?
- 22. 未使用表单身份验证的身份验证
- 23. 表单身份验证跨Windows身份验证
- 24. Xamarin表单身份验证 - 身份验证提供程序?
- 25. Windows身份验证与表单身份验证
- 26. 表单身份验证和Web表单
- 27. 使用CORS和Cookie身份验证的ASP.NET身份/ OData缺少身份验证Cookie
- 28. UI.Net和ASIHttpRequest之间的ASP.Net表单身份验证cookie
- 29. 如何设置表单身份验证Cookie路径
- 30. LoadRunner表单身份验证Cookie已过期
你可能想在这里阅读它。但是,如果我没有弄错某些形式的对策是由MS发布的。 http://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx – JaggenSWE 2012-08-06 21:07:58