5
@ Slaumaのリンク応答(hereを含む)が@ reach4thelasersによって書かれたことに襲われたとき、私はこのSO questionを読んでいました。これは、ASP.NETのフォーム認証を広く開いて、30分ほどでリモートマシンのキーを収集する方法のブログ記事です。ASP.NETフォーム認証の脆弱性
これは、これが特定のことをしなかった場合にのみ可能だと述べたブログ投稿に対するいくつかの回答がありましたが、その特定のものが何であったかについてはっきりしていませんでした(カスタムエラーページに関するものですが、エラーページにヒットしたようではありませんでした)。また、MSにはこうした攻撃を避けるための推奨事項があると述べられていますが、この勧告との関連はありませんでした。
最初に、上記のような悪用を防ぐために、ASP.NETフォーム認証システムを開発する際に、必要なことを誰かが明確に説明することができますか?
第2に、特定のベストプラクティス(既定では実装されていない)が軽減または防止する、ASP.NETフォーム認証で他によく知られているエクスプロイトがありますか?私は財務データを持つ公開サイトを構築しているので、これは私にとって深刻な問題です。
私はあなたがそれについて話すと信じています:http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround – Aristos
私からの同様の質問はhttp://stackoverflow.com/questions/2498599/can-some-hacker-steal-the-cookie-from-a-user-and-login-with-that-name-on- a-web-s – Aristos
優れています。リンクありがとう。 –