Я думал, что .ASPXAUTH предназначен для аутентификации пользователей? Может ли кто-нибудь подтвердить, действительно ли этот файл cookie представляет угрозу безопасности и / или содержит информацию о сеансе? Предполагается, что это вообще будет использоваться или это какая-то отладочная вещь?
Тестеры на проникновение говорят, что файл cookie .ASPXAUTH небезопасен и отображает данные сеанса?
comment
Из вопроса stackoverflow.com/questions/423467/what-is-aspxauth- cookie - .aspxauth не связан с сессией - он идентифицирует пользователя.
- person Neil Moss schedule 15.07.2010
Ответы (1)
Я думаю, вы столкнулись с некоторыми комментариями, которые связаны с безопасностью проверки подлинности с помощью форм. Дополнительную информацию можно найти здесь: h ttp: //visualstudiomagazine.com /articles/2010/09/14/aspnet-security-hack.aspx
Все сводится к тому, что умный хакер может обнаружить машинный ключ, используемый для шифрования файлов cookie, и создать свои собственные поддельные файлы cookie аутентификации.
person
bleepzter
schedule
03.02.2011
Здесь, вероятно, стоит упомянуть, что полностью исправленные серверы больше не обнаруживают этой уязвимости: technet.microsoft.com/en-us/security/bulletin/MS10-070
- person Tao; 03.09.2011
Фактически они не могли обнаружить ключ машины как таковой. Они использовали server
s error messages to use the server as a padding oracle. Using the oracle and brute-force they could encrypt any string, one bit at a time. By constructing an encrypted request for the web.config. By default this doesn't contain the machinekey; by default it is generated per app in process, unless you generate and configure a key yourself. Leaking web.config`, тем не менее, это все еще Плохая вещь ™.
- person Chris Wesseling; 27.06.2012
