asp.net中的基本表单身份验证有多安全？

Question

想象一下,你有一个只有2个页面的简单网站:login.aspx和secret.aspx.除了ASP.net表单身份验证和login.aspx上的ASP.net登录服务器控件之外,您的站点都是安全的.详情如下所示:

• 该站点配置为使用SqlMembershipProvider
• 该网站拒绝所有匿名用户
• Cookie被禁用

显然有很多事情需要考虑安全性,但我对.net框架附带的零代码开箱体验更感兴趣.

如果为了这个问题,唯一的攻击点是login.aspx中的用户名/密码文本框,黑客是否可以注入允许他们访问我们的secret.aspx页面的代码？

Microsoft提供的零代码开箱即用体验有多安全？

Answer 1

您仍然有一些未考虑的变量:

• 对成员资格提供程序使用的数据存储的安全性(在本例中为Sql Server数据库).
• 托管在同一IIS中的其他站点的安全性
• 托管站点所涉及的机器的一般网络安全性,或托管站点的同一网络
• 托管站点的计算机的物理安全性
• 您是否使用适当的措施来加密身份验证流量？(HTTPS/SSL)

并非所有这些问题都是MS特定的,但它们值得一提,因为如果不加以处理,它们中的任何一个都很容易超过您所询问的问题.但是,出于你的问题的目的,我会假设它们没有任何问题.

在那种情况下,我非常确定表单身份验证能够完成它应该做的事情.我不认为那里有任何当前活跃的漏洞利用.