我正在阅读这个 Stack Overflow问题,当我被@Slauma的链接回复击中时(包含在这里),他回复了由@reach4thelasers撰写的所选答案。这是一篇关于如何破解ASP.NET表单身份验证并在大约半小时内收集远程机器密钥的博客文章。
有些回应该博客文章提到,只有在您不执行某些特定操作时才可能实现此目标,但我不清楚这些特定操作是什么(某些关于自定义错误页面的内容,但视频似乎没有触发任何错误页面)。它还提到MS有建议来避免这些攻击,但没有链接到建议。
因此,首先,是否有人可以清楚地解释,在开发ASP.NET表单身份验证系统时,需要采取哪些措施来防止像上面提到的利用漏洞?
其次,ASP.NET表单身份验证中是否存在其他众所周知的漏洞,某些最佳实践(默认未实现)是否可以缓解或预防?我正在构建一个包含财务数据的公共网站,因此这是我非常关注的问题。
有些回应该博客文章提到,只有在您不执行某些特定操作时才可能实现此目标,但我不清楚这些特定操作是什么(某些关于自定义错误页面的内容,但视频似乎没有触发任何错误页面)。它还提到MS有建议来避免这些攻击,但没有链接到建议。
因此,首先,是否有人可以清楚地解释,在开发ASP.NET表单身份验证系统时,需要采取哪些措施来防止像上面提到的利用漏洞?
其次,ASP.NET表单身份验证中是否存在其他众所周知的漏洞,某些最佳实践(默认未实现)是否可以缓解或预防?我正在构建一个包含财务数据的公共网站,因此这是我非常关注的问题。