Indicateur de sécurité pour Cookie ASPXAUTH
Nous avons à l'extérieur face à l'application qui a été pénétration-testé par un système externe de sécurité de l'entreprise. L'Application a été développée sur ASP.NET MVC4 et en cours d'exécution sur IIS8/Windows 2012 Server.
L'un des vulnérabilités signalées a été ASPXAUTH n'est pas sécurisé. Quand j'ai vérifié sur le cookie de l'inspecteur, il y a quelques biscuits avec indicateur de sécurité. Mais ASPXAUTH n'était pas l'un d'eux.
J'ai fait un peu de recherche, et de définir ces indicateurs ci-dessous sur le web.config
<forms loginUrl="~/Account/Login" timeout="2880" requireSSL="" name="AppName" />
et
<httpCookies httpOnlyCookies="true" requireSSL="true" />
En dépit de ces paramètres, le cookie d'authentification n'est pas marqués comme sécurisés. Je suppose que thse drapeaux doivent être suffisamment à la demande d'enregistrement de marque de cookies sécurisés, mais il ya quelques autres cookies qui ne sont pas marqués comme sécurisés. Je ne suis pas trop inquiet à leur sujet, car ils ne contiennent pas de données sensibles. Mais je voudrais drapeau ASPXAUTH aussi sécurisé.
Mes questions sont,
- Avec ces drapeaux fixés sur le web.config, c'est d'avoir ASPXAUTH sans indicateur de sécurité d'un problème de sécurité?
- Si oui, pourriez-vous me dire quelle est la manière correcte est de le marquer comme sécurisé.
grâce.
Vous devez vous connecter pour publier un commentaire.
J'ai trouvé ce morceau de code qui fait mon cookie d'authentification sécurisée. Je ne me souviens pas de la source de cela, mais si vous l'ajoutez à votre global.asax, il trie le problème. Je ne sais pas pourquoi, mais requireSSL=true dans votre balise n'a pas été suffisant pour assurer la sécurité.
Votre problème semble être que, parce que votre formulaire n'est pas correctement configuré. Vous avez:
et vous devriez avoir
Selon Microsoft la
requireSSL
attribut dans lahttpCookies
balise est remplacée par lerequireSSL
attribut de laforms
tag. Vous ne définissez pas la valeur, mais vous avez spécifié, il peut provoquer IIS pour utiliser la valeur par défaut defalse
. Vous devez le régler àtrue
.Réponse pour votre secong question
Double Possible de Comment sécuriser .ASPXAUTH jeton
comme par réponse par xelco