[ASP.NET]弱點掃描Persistent Cookies的問題!
今天接到客戶說系統有Persistent Cookies的問題,直覺我們系統用的是Form驗証,但不是使用Persistent Cookies(FormsAuthentication.SetAuthCookie("xxxx", false))呀~!
於是再看一下系統,發現那個cookie是給未登入使用者使用的,系統沒有使用,因為專案是從OpenSource專案修改過來的,所以沒有注意到吧!
後來到web.config中將以下那行刪除掉! 就搞定了!
<anonymousIdentification enabled="true" cookieName=".DBANON" cookieTimeout="43200" cookiePath="/" cookieRequireSSL="false" cookieSlidingExpiration="true" cookieProtection="All" cookieless="UseCookies"/>
以上錄網路是使用httpWatch這個工具錄的! 也可以使用IE9的開發者工具或是用Fiddler來錄也可以!
Persistent cookies弱點描述:Session cookies因該只暫存在瀏覽器中的記憶體中,然而Persistent cookies為永久儲存,這可能造成安全上的威脅永久的cookie當使用者不再瀏覽網頁時,資訊仍然存在,若cookie內存有使用者的機密資料會造成安全上很大的威脅。
修補方式:不要於 cookie 設定「expires」即可 。
Hi,
亂馬客Blog已移到了 「亂馬客 : Re:從零開始的軟體開發生活」
請大家繼續支持 ^_^
