51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

探索ASP.NET Forms验证的相关安全性问题

作者:Birdshover
开发 后端
这里我们将讨论的是ASP.NET Forms验证的相关安全性问题,希望本文能对大家了解安全性的重要性有所帮助。

ASP.NET Forms验证主要是为了防止Forms被破解危害网站的安全,今天我们将从简单的Forms开始讲述,最后讲解危机将带来什么后果。

ASP.NET提供了内置的登录验证,最为常用的就是Forms验证。讲解如何配置的文章非常多,这里就不再讲如何配置使用这个验证的方式了。下面讲讲其在安全性上存在的一些被忽视的问题。其实它本身没有问题,而使用的方式上会附带出来一些问题。

本文将分三部分讲实际应用中将会遇到的安全性问题,并且加以研究,并尝试提出解决方案。

一、简单的Forms被破解危机

二、垂直划分站点的Forms被破解危机

三、危机将带来什么后果

一、简单的Forms被破解危机

最简单的一个ASP.NET Forms验证,在web.config下配置节点:

  1. <authentication mode="Forms"> 
  2.     <forms name=".MyCookies"></forms> 
  3. </authentication> 

编写一个帮助类:

  1. CookieHelper类  
  2.     public static class CookieHelper {  
  3.         public static string Encrypt(string name, string value) {  
  4.             FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, name, DateTime.Now, DateTime.Now.AddDays(1), true, value, "/");  
  5.             string authTicket = FormsAuthentication.Encrypt(ticket);  
  6.             return authTicket;  
  7.         }  
  8.  
  9.         public static void Set(string name, string value) {  
  10.             HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, Encrypt(name, value));  
  11.             cookie.Expires = DateTime.Now.AddDays(1);  
  12.             if (HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName] == null)  
  13.                 HttpContext.Current.Response.Cookies.Add(cookie);  
  14.             else 
  15.                 HttpContext.Current.Response.Cookies.Set(cookie);  
  16.         }  
  17.  
  18.         public static string Get() {  
  19.             if (HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName] == null)  
  20.                 return null;  
  21.             else {  
  22.                 return HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName].Value;  
  23.             }  
  24.         }  
  25.  
  26.         public static FormsAuthenticationTicket Decrypt(string value) {  
  27.             return FormsAuthentication.Decrypt(value);  
  28.         }  
  29.     } 

建立站点SiteA

建立站点SiteB

在SiteA的页面设置Cookie:

CookieHelper.Set("yurow", "123123");

OK!这样,就在SiteA建立了一份Cookie,这个本身并没有任何问题。但是我们往往忽视了一些问题,大家看到,我在CookieHelper类里提供了Decrypt方法,这个方法可以解密Cookie。问题就在于这里!怎么?不知道?那就让贫道来跟施主解释。在这样的网站下,我进行以下的操作步骤:

1、我注册一个帐号;

2、我用这个帐号登录(方便起见,我使用Firefox);

3、打开Firebug,并且启用该网站的网络监视;

4、刷新登录后的页面;

5、在该页面被监视的HTTP头中可以看到一段Cookie密文。例如:

.MyCookie=32DDE0B4E858248037E4D082EF7E9C9BC607B7AA878F8DD
7DE7C13630A5A38FD9A9DA89B709E79F97D05DEEFC9D55A45D29051D
66955439055D01476E8659E34ABDB42FA0018020194F26618FE74E11B
 这样的字符串。

OK,在该网站的操作到此为止。现在在SiteB中建立一个页面,中间加上一个输入框,一个按钮,并且编写以下事件:

解密代码

  1. protected void Button1_Click(object sender, EventArgs e) {  
  2.     string text = TextBox1.Text;  
  3.     if (!string.IsNullOrEmpty(text)) {  
  4.         FormsAuthenticationTicket ticket = CookieHelper.Decrypt(text);  
  5.         Type type = ticket.GetType();  
  6.         PropertyInfo[] properties = type.GetProperties();  
  7.         StringBuilder sb = new StringBuilder();  
  8.         foreach (PropertyInfo propertie in properties) {  
  9.             string name = propertie.Name;  
  10.             string val = propertie.GetValue(ticket, null).ToString();  
  11.             sb.Append(name);  
  12.             sb.Append(":");  
  13.             sb.Append(val);  
  14.             sb.Append("\r\n");  
  15.         }  
  16.         //textBox2.Text = sb.ToString();  
  17.         Response.Write(sb.ToString());  
  18.     }  

把上面的Cookie密文,等于后面的部分复制到SiteB页面中,点解密按钮,看到了什么?

Version:1 Name:yurow Expiration:2009-9-23 19:12:44 IssueDate:2009-9-22 19:12:44 IsPersistent:True Expired:False UserData:123123 CookiePath:/

怎么样?所有的信息都被解密了!不过好像高兴地太早了,解密了自己的数据有啥用啊,又拿不到别人的Cookie密文。暂且打住,接下来先讲垂直划分站点安全隐患。

二、垂直划分站点的Forms被破解危机

垂直划分站点其外在表现一般是多域名的N多站点。比如博客园的space.cnblogs.com,news.cnblogs.com等等。而上面第一部分的描述中,贫道似乎漏掉了关于设置machineKey的问题,那是因为要留到这里来讲,要是上面都说了,现在讲啥?

是的,我们是可以在web.config中设置

<machineKey validationKey="*********" decryptionKey="********" validation="SHA1" decryption="3DES"/>

这样的节点。如果在A站点设置了这个,除非B站点也设置相同KEY的节点,否则SiteB将无法正确解密SiteA产生的Cookie密文。似乎一般的网站都设置了这个,好像我们不需要为此而担心了嘛!

是的,一般情况是这样的。但是,很多公司的人员流动性是较大的,而且垂直分割的站点中,可以接触到web.config的人我相信是非常多的。这就能让某些人,(当然,不包括贫道,嘿嘿)就可以比较容易地拿到这个关键的数据。这个数据能干啥?那还用说啊?我在SiteB我自己建立的站点的Web.config也配置上这个节点,那就可以轻易解开目标网站的Cookie密文。为了保证这方面的安全性不得不把Cookie加密解密部分做成服务,不但容易更新,而且让尽可能少的人接触,防止安全性上的问题被放大。要不然,有个人离职啊,或者电脑中毒啊,最好还是要改动改动machineKey,否则呢?否则就有可能出问题。出什么问题呢?这就是下面要讲的。

三、危机将带来什么后果

加密的Key泄露,会带来什么后果?后果很严重。从上面的例子可以看到这个站点Cookie密文包含的关键信息。而是要CookieHelper类,根据这些关键信息,我们就可以轻易地制造出一个Cookies密文。而拿这个Cookies密文写入目标网站的Coookies中,那么就会认为你已经登录。并且这个(这里我们用的验证可能是Cookie保持的用户名或者ID一类的东西。)用户名可以随意伪造,也就是可以用不存在的用户进行发帖!如果你每次在发帖等操作进行验证无疑是增加了服务器的负担,而最好的办法当然是不外泄加密KEY了。这种方式不当可以伪造用户(几个月前我专门试过一些站点是可以的,而伪造用户发帖会造成该论坛的某个版面甚至首页无法访问),而且可以伪造成管理员的帐号。不难想象,如果用其它用户的帐号或者管理员的帐号进行随意发帖,会造成怎么样的恶劣影响了吧?

OK,意识到问题了吧?

本文来自Birdshover博客园文章《ASP.NET Forms验证的安全性问题研究——为什么加密代码需要配置为服务

【编辑推荐】

  1. ASP.NET MVC单元测试:HttpContext类的Path属性解惑
  2. 自定义的ControllerFactory:接口实现,支持Area
  3. ASP.NET Routing之“解析URL”功能详解
  4. 为ASP.NET MVC应用添加自定义路由
  5. 学习ASP.NET MVC路由的使用方法
责任编辑:彭凡 来源: 博客园
ASP.NET Forms验证
相关推荐
ASP.NET Forms验证
本文介绍在ASP.NETForms验证中,通常我们会使用ASP.NET自带的Login控件来进行验证。同时,在web.config文件中,我们所有的Forms设置都设为默认。

2009-07-29 09:59:10

ASP.NET For
浅析ASP.NET Forms验证
本文介绍ASP.NETForms验证,一个属性UserData,这个属性可以由应用程序来写入自定义的一些数据,我们可以利用这个字段来存放role的信息,从而达到基于角色验证的目的。

2009-08-05 16:50:09

ASP.NET For
浅析ASP.NET Forms验证
本文介绍ASP.NETForms验证,一个属性UserData,这个属性可以由应用程序来写入自定义的一些数据,我们可以利用这个字段来存放role的信息,从而达到基于角色验证的目的。

2009-08-05 16:17:29

ASP.NET For
浅谈ASP.NET Forms验证
本文介绍ASP.NETForms验证,当然用户也可以自定义与验证方法,而最常用的莫过于Forms验证,这也是今天所要讨论的验证方式。

2009-08-05 15:29:33

ASP.NET For
ASP.net身份验证方式FORMS
本文主要介绍了ASP.NET的身份验证方式FORMS验证,从两个方面介绍了!一起来看。

2011-05-23 10:37:03

浅析ASP.NET安全性
本文介绍ASP.NET安全性是Web应用程序中一个非常重要的方面,它涉及内容非常广泛,以及介绍讲述如何利用IIS以及Forms身份验证构建安全的。

2009-07-23 17:05:11

ASP.NET安全性
ASP.NET Forms身份认证
在这篇博客中,不会涉及ASP.NET的登录系列控件以及membership的相关话题,我只想用比较原始的方式来说明在ASP.NET中是如何实现身份认证的过程。

2012-04-16 09:54:26

浅析ASP.NET Web安全性
本文介绍ASP.NETWeb安全性,Web安全性是各种因素的总和,是一种范围远超单个应用程序的策略的结果,这种策略涉及数据库管理、网路配置,以及社会工程和phishing.本文的目的在于说明。

2009-07-29 11:25:40

ASP.NET中validaterequest属性与安全性
ASP.NET中validaterequest属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符。本文简单分析了validaterequest属性,并举了一个简单的例子。

2009-03-02 13:56:29

ASP.NET应用执行验证
本文介绍ASP.NET应用执行验证,包括介绍ASP.NET使用authenticationprovider来实现验证,Form验证步骤和Windows验证步骤,

2009-08-05 13:09:17

ASP.NET应用执行
浅析ASP.NET验证控件
本文介绍ASP.NET验证控件,有效解决了ASP.NET验证控件占用页面提示信息版面的缺陷。

2009-07-27 17:25:53

ASP.NET验证控件
概述ASP.NET安全
本文介绍ASP.NET安全,每一个技术都有自己的特点,学会利用这里技术特点和特性就可以帮助我们解决很多的实际问题。

2009-07-29 13:04:59

ASP.NET数据验证验证组浅析
ASP.NET数据验证中的验证组是什么呢?ASP.NET数据验证有什么必要性呢?本文就向你介绍相关信息。

2009-08-04 15:02:18

ASP.NET数据验证
未雨绸缪 大数据安全性问题
在这个数据大爆炸的时代,企业通过大数据可以更加高效的洞察和预见消费者行为以及行业趋势,但同时也伴随着安全性的困扰。能否保护自己的隐私安全、信息安全,成为了企业部署大数据之前摆在面前的首道难题。Hadoop作为大数据的首选平台,从开发之初也一直被笼罩着安全性问题。

2013-04-10 10:54:13

Hadoop大数据大数据安全
ASP.NET Web Forms 4.0中双向Routing支持
.NETFramework3.5SP1已经包含了ASP.NETRouting引擎。现在微软已经在ASP.NETWebForms4.0中增加了对Routing引擎更好的支持,它使用表达式构造器进行双向Routing。

2009-03-09 13:46:31

RoutingWebASP.NET
如何减缓云端VPN安全性问题
云端的VPN安全问题并不少见,但是只要采取一系列简单的措施,这些问题即可以轻松避免。

2015-04-21 10:21:49

WCF线程安全性问题有所解决
WCF线程的安全性一直都是开发人员所担心的问题。不过在技术不断创新的背景下,这一问题也有所解决。在这里我们将会做一个详细介绍。

2010-03-02 16:34:36

WCF线程
ASP.NET验证控件之RegularExpressionValidator
本文介绍了使用ASP.NET验证控件:RegularExpressionValidator的方法和使用时需要注意的一些问题。

2009-08-07 14:40:36

RegularExprASP.NET验证控件
区块链安全性问题与挑战
任何系统都有一些漏洞,区块链也不例外。

2021-10-12 16:11:19

区块链安全比特币
ASP.NET Cookie:不是问题问题
本文介绍了ASP.NETCookie的来龙去脉,以及存在的一些问题。

2009-08-06 15:56:40

ASP.NET Coo
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服