Cyr*_*pta 5 .net authentication cookies asp.net-mvc
我在ASP.Net MVC网站上有一个非常有趣的黑客入侵案例.对于这个网站,我为我的管理区域实现了一个相当简单的身份验证系统 - 一个加密的cookie,它具有该成员的识别签名.每当管理员访问网站时,cookie都将被解密并进行签名验证.如果匹配他就不必登录.
几天前,我网站上的一位访问者告诉我,他只需点击他的Statcounter控制台上没有指向我的管理区域的推荐链接就可以登录我的网站(我从管理员视图中的链接访问了他的网站) ).
他只是点击了statcounter中的一个链接,他就以管理员身份登录了!
这可能发生的唯一方法是,如果statcounter以某种方式记录我的cookie并在他点击指向我的管理员的链接时使用它们!
这是合乎逻辑的还是可以理解的?
我不明白发生了什么.您对我如何保护自己的网站免受此类攻击有什么建议吗?
更新:我创建了一个IP地址白名单系统,以保护我的管理员免受未经授权的访问.基本上,服务器现在将访问者的IP地址与白名单进行比较,并且只有在该IP地址位于该列表中时才允许访问.它还支持通配符,因此即使对于动态IP地址也可以.
虽然它不是万无一失,但它占用安全性很多.
我不明白如何通过 StatCounter 发生这种情况 - 即使它按照描述公开了您的管理区域的链接,他的本地计算机也不会具有身份验证 cookie。请他将他点击的链接发送给您,然后在您通常不使用的浏览器或另一台电脑上亲自尝试。我的猜测是您的身份验证系统存在缺陷,这意味着如果某人(即您)已经在其他地方登录,则指向管理区域的链接会自动起作用。或者,该链接包含您的完整凭据,这不是 StatCounter 的错。