我们遇到了一个奇怪的情况。表单验证:在会话期间用户已更改
用户 “A” 登录到我们的网络系统(ASP.NET MVC,窗体身份验证),在工作一段时间,然后他的用户名改为 “B”
IIS日志:
2011-11-29 05:59:26 GET/PlacementOrder/- 80 [email protected] 191.114.62.70 Mozilla/4.0 + 200 0 0 2118 2011-11-29 05:59:26 POST/PlacementOrder/Index_GetData - 80 [email protected] 191.114.62.70 Mozilla/4.0 + 200 0 0 551
这种情况非常重要 - 用户无法看到其他人的数据。
有没有人有任何想法?请!
最后:
我们已经确定这是一个在ASP.NET,IIS或其他地方的漏洞。我们在Application_AuthenticateRequest和AuthCookie.UserData中添加了对IP的额外检查。
谢谢你帮助我们!
你确定它是同一个人,你是基于IP还是一个报告这个问题的用户?可以看到办公室/建筑物中的用户来自相同的IP地址。 –
用户报告了问题。用户“A”和“B”在不同的办公室工作,拥有不同的IP。我们在调查过程中完成了这项工作。 –