当我被@Slauma 对@reach4thelasers 所写的所选答案的链接响应(包括在此处)所震惊时,我正在阅读这个SO 问题。这是一篇关于如何在大约半小时的时间内破解 ASP.NET 的表单身份验证并收集远程机器密钥的博客文章。
对博客文章的一些回复提到,只有在你不做一些具体的事情时才有可能,但我不清楚这些具体的事情是什么(关于自定义错误页面的东西,但视频似乎没有点击任何错误页面)。它还提到 MS 提出了避免此类攻击的建议,但没有与该建议的链接。
那么,首先,在开发 ASP.NET 表单身份验证系统时,有人能清楚地解释什么是必要的,以防止像上面提到的那样被利用吗?
其次,在 ASP.NET 表单身份验证中是否还有其他众所周知的漏洞可以通过某种最佳实践(默认情况下未实现)来缓解或阻止?我正在建立一个包含财务数据的公共网站,所以这对我来说是一个严重的问题。