Form authenticationCookieの脆弱性について質問があります。JavaScriptでは、document.cookieを使用してフォーム認証cookie値にアクセスできます(httponlyではないと想定)。この値は暗号化されています。私は多くのブログで、誰かがこの価値を得ると、私たちのセキュリティが侵害されることを読みました。私の質問は、フォーム認証暗号化方式がマシンキーを使用してそのCookieを暗号化するため、彼(攻撃者)がどのようにそれ(Cookie内の資格情報)を侵害できるかということです。したがって、それを復号化するには、同じマシンキーが必要になりますか?そうじゃない?攻撃者は私のマシンキーを持っている必要があり、それを復号化できるため、Cookieの値がどのように脆弱であるかを明確にできますか?私はここにいますか?
質問する
448 次
2 に答える
2
フォーム認証の暗号化以降、彼(攻撃者)はどのようにしてそれ(Cookie内の資格情報)を破ることができますか
彼は暗号化されたCookieを復号化する必要はありません。彼はCookieの暗号化された値を使用して、あなたになることができます。
サーバーは暗号化を行うため、Cookieを提供するブラウザがCookieの最初の発行者であるかどうかはわかりません。
「このCookieを変更」(またはその機能を実現するその他の機能)などの拡張機能を使用すると、Cookieを取得できた場合、暗号化された値に設定できます。
皮肉なことに、StackOverflowについてもまったく同じ質問がありました。詳細については、トロイの投稿をご覧ください。
于 2012-08-06T21:05:02.873 に答える
1
私がやったことは、それが実際にどれだけ役立つかはわかりませんが、(約100回の試行が行われていますが)CookieをIPアドレスとペアリングすることである違反は見たことがありません。呼び出しが前の呼び出しと同じIPアドレスからのものである場合、そうでない場合はCookieがリセットされるため、再度ログインする必要があります。これはすべてのサイトで正確に実行できるわけではありませんが、私の場合は、モビリティを許可するよりも、セキュリティ対策を追加することが重要でした。
このアプローチはおそらくMITM攻撃の影響を受けやすいですが、モンスターの予算があり、パフォーマンスとアクセス可能性に関する制限がない場合を除いて、すべての不測の事態から身を守ることはできません。
于 2012-08-06T21:15:33.180 に答える