ASP.NET虚拟主机中Forms Authentication的安全性

asp.net|安全|安全性|虚拟主机

原创 By Fancyf(Fancyray) http://blog.csdn.net/fancyf/
    写完了《ASP.NET Forms Authentication所生成Cookie的安全性》,觉得可以为Forms的安全性松一口气了,结果最初提出问题的贴主又提到了一个问题:MachineKey是怎样实现的?同一台虚拟主机上不同的Web Application所使用的MachineKey是不是一样的?上次没想到这个为题,再做一下试验。
    试验思路:在同一台电脑上新建一个WebApplication,所绑定的域名不一样,也不在同一个应用程序池中。在新建的WebApplication生成一个Cookie,把值拿到原先的WebApplication中看看能否通过验证。
    试验过程:为了绑定不同的域名,在这台电脑上启动了DNS服务,并将网络连接中的DNS服务器指向了这台电脑的IP。根据FormsAuthenticationTicket构造函数的原型:
public FormsAuthenticationTicket(int version, string name, DateTime issueDate, DateTime expiration, bool isPersistent, string userData, string cookiePath)
    以及在GetAuthCookie(...)中的调用方法:
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, userName, DateTime.Now, createPersistentCookie ? DateTime.Now.AddYears(50) : DateTime.Now.AddMinutes((double) FormsAuthentication._Timeout), createPersistentCookie, "", strCookiePath);
    决定在测试页面上放两个文本框,一个是用户名txtUsername2,一个是时间txtGenDate(代替DateTime.Now),然后在Generation按钮的Click事件中这样写:
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
    运行发现,对相同的用户名和生成时间,FormsAuthentication.Encrypt(ticket1)所得到的结果每次都不一样,但是每个结果都是有效的。
    现在把这个页面拿到新建立的WebApplication中运行,把得到的一组结果放在了原WebApplication的Login.aspx页面上:
<script language=javascript>
 document.cookie="MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A";
</script>
    在原WebApplication程序中启动一个非登录页面(upload.aspx),结果正常跳转到了login.aspx页面。此时应该已经执行了上面的js程序,也就是说另一个程序中生成的cookie已经生效了。直接再次输入upload.aspx的URL,结果通过了验证!此时通过ieHttpHeaders可以清楚地看到,浏览器发送的请求中有这个值"MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A"。

    这说明,MachineKey的确只与Machine有关,而与WebApplication无关。一个Application生成的Cookie也可以通过其他Application的Forms验证!值得担心的事情终于出现了。A和B两个WebApplication在同一台电脑上的两个不同的虚拟主机,A中使用了Forms验证。B只要执行:
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
    这样一段代码可以生成在A中合法的一个用户名所对应的Cookie,B通过伪造Cookie的方式向A发出请求,就可以通过A的验证,从而获的任何一个用户的权限!这一切都太简单了,不需要任何高深的技术,只要A和B在同一台电脑上!!!而且根据《ASP.NET Forms Authentication所生成Cookie的安全性》得出的结论,A无论是修改B所冒用的用户的密码还是在A上注销这个用户,都无法阻止B的行为,除非禁用这个用户名,而且不让B获得任何一个合法的用户名才能避免再次被仿冒。
    这下我是不敢在虚拟主机上仅仅使用Forms验证了。如果你的ASP.NET主机上还有其他用户,还是尽快加强安全措施吧。Forms验证根本就不是给虚拟主机的用户用的,也根本没有考虑虚拟主机的安全性。
 

    免责声明:本文仅仅是从技术的角度来探讨系统的安全性,任何人对本文的使用仅限于加强自己的网站的安全性,不得利用本文的内容从事非法活动。且作者不承担任何人利用本文给第三方造成的损失。

时间: 2024-10-04 09:59:42

ASP.NET虚拟主机中Forms Authentication的安全性的相关文章

推荐:ASP.NET虚拟主机安全漏洞解决方案

asp.net|安全|安全漏洞|解决|虚拟主机 说明:本文中所需环境为2003Server+iis6.0+ms sql2000 曾经很早就在网上看到一篇关于<asp.net虚拟主机的重大隐患>的文章,当时并不在意,做过asp虚拟主机的朋友可能都知道,即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限,能够基本上解决asp的fso问题. 在网上无意中发现了一个叫做webadmin的asp.net-webshell,对自己的服务器进行测试的时候,让我大吃一惊,居然对我服务器的c盘有读取的

让你的ASP.NET虚拟主机也支持子网站

asp.net|虚拟主机     现在ASP.NET虚拟主机一般都可以绑定多个域名,但是通过这几个域名打开的页面都一样.如何使绑的这几个域名分别打开不通的页面(即实现子网站的功能)呢? 其实很简单,只需4个步骤:    1)给虚拟主机绑定几个域名:例如:www.abc.com,services.abc.com,support.abc.com.    2)在虚拟主机站点的根目录下建立几个文件夹:例如:services,support:www文件夹就不要建了.    3)在vs 2005 Web项目

ASP.NET虚拟主机的重大安全隐患

asp.net|安全|安全隐患|虚拟主机 说明:本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误开发环境:.Net 框架1.0 Version 1.0.3705 一.ASP.NET虚拟主机存在的重大隐患 我曾经在WWW.BRINKSTER.COM申请了一个免费的ASP.NET空间,上传了两个程序,其中一个查看目录和文件的程序证明我的判断:ASP共享空间服务器存在的一个安全问题,在 ASP+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我可以浏

ASP.NET虚拟主机安全漏洞解决方案

asp.net|安全|安全漏洞|解决|虚拟主机 说明:本文中所需环境为2003Server+iis6.0+ms sql2000 曾经很早就在网上看到一篇关于<asp.net虚拟主机的重大隐患>的文章,当时并不在意,做过asp虚拟主机的朋友可能都知道,即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限,能够基本上解决asp的fso问题. 在网上无意中发现了一个叫做webadmin的asp.net-webshell,对自己的服务器进行测试的时候,让我大吃一惊,居然对我服务器的c盘有读取的

ASP.NET虚拟主机的重大安全隐患(一)

 2002-07-01· ·秦海鹏··yesky说明:本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误开发环境:.Net 框架1.0 Version 1.0.3705 一.ASP.NET虚拟主机存在的重大隐患 我曾经在WWW.BRINKSTER.COM申请了一个免费的ASP.NET空间,上传了两个程序,其中一个查看目录和文件的程序证明我的判断:ASP共享空间服务器存在的一个安全问题,在 ASP+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我

最好的ASP.NET虚拟主机空间推荐

中介交易 SEO诊断 淘宝客 云主机 技术大厅 ASP.NET凭借着世界级的工具支持.强大性和适应性.简单性和易学性和高效的可管理性使之成为目前最流行的web开发工具之一.目前对于ASP.NET虚拟主机的需求也日益增多,在这里为大家推荐一款优秀的香港ASP.NET虚拟主机空间:主机91. 综述: 主机91提供的ASP.NET虚拟主机空间采用windows server 2008 R2+IIS7.5的服务器操作系统配置,提供500M磁盘空间(可升级),支持ASP.NET 1.1/2/3.5SP1/

关于jsp虚拟主机中的数据库连接

问题描述 jsp虚拟主机中的:数据库连接30.请问这里的数据库连接是指30个终端连接数据库,还是网站同时30个请求?------------------客服回复:您好,是30个终端连接数据库,只要您保持着申请一,释放一个,就会一直是30个.请问一下这段话是什么意思呢?什么是申请一个,释放一个? 解决方案 解决方案二:相当于数据库的连接数量最大30个吧,像配数据库连接池时的那个最大连接数解决方案三:引用1楼heting1024的回复: 相当于数据库的连接数量最大30个吧,像配数据库连接池时的那个最

ASP.NET虚拟主机的重大安全隐患(三)

解决方案 将FSO组件和删除或改名的方式我们不再过多的加以说明了,这一类的解决方法网络上已经有很多文章介绍了. 另外还有一种关于ASP的FSO组件漏洞的相应解决方案,即根据用户设置权限.在IIS里,可以设置每个站点的匿名访问所使用的帐号,默认为IUSR_ HostName,这一方法的原理就是针对每一个共享主机用户分别设置一个Windows帐号,如IUSR_HostName1,IUSR_ HostName 2等,然后将每一个用户限制在各自的Web目录下. 我们仔细的研究一下这种方案,可以发现这个方

Win2003+ASP.NET虚拟主机安全设置图文教程_win服务器

在这里,我们的站点目录放在D盘的www文件夹,假设现在有一个名叫fesend的虚拟主机用户,我们在www文件夹下建立 fesend 的文件夹来存放此用户的站点数据 其中要用到以下组及帐号: IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group) Guests组 (来宾组,在系统中拥有最少的权限) Internet 来宾帐户 (匿名访问 Internet 信息服务的内置帐户) 启动 IIS 进程帐户 (用于启动进程外应用程序的 Internet 信息服务