5

当我被@Slauma 对@reach4thelasers 所写的所选答案的链接响应(包括在此处)所震惊时,我正在阅读这个SO 问题。这是一篇关于如何在大约半小时的时间内破解 ASP.NET 的表单身份验证并收集远程机器密钥的博客文章。

对博客文章的一些回复提到,只有在你不做一些具体的事情时才有可能,但我不清楚这些具体的事情是什么(关于自定义错误页面的东西,但视频似乎没有点击任何错误页面)。它还提到 MS 提出了避免此类攻击的建议,但没有与该建议的链接。

那么,首先,在开发 ASP.NET 表单身份验证系统时,有人能清楚地解释什么是必要的,以防止像上面提到的那样被利用吗?

其次,在 ASP.NET 表单身份验证中是否还有其他众所周知的漏洞可以通过某种最佳实践(默认情况下未实现)来缓解或阻止?我正在建立一个包含财务数据的公共网站,所以这对我来说是一个严重的问题。

4

1 回答 1

4

很久以前就已经解决了这个问题:http ://technet.microsoft.com/en-us/security/bulletin/MS10-070

Scott Gu 当时写过它http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx

这个 SO 问题涵盖了该问题的一些影响它是否容易受到 ASP Padding oracle的影响

我想说,主要的收获是框架中的补丁和升级比将生产应用程序留在旧框架、旧补丁级别更危险,大型组织的变更控制委员会反过来看到了这一点。他们通常更担心补丁和更新,而不是现有代码中存在漏洞的可能性。

于 2013-04-13T12:26:52.813 回答