Indicateur de sécurité pour Cookie ASPXAUTH

Nous avons à l'extérieur face à l'application qui a été pénétration-testé par un système externe de sécurité de l'entreprise. L'Application a été développée sur ASP.NET MVC4 et en cours d'exécution sur IIS8/Windows 2012 Server.

L'un des vulnérabilités signalées a été ASPXAUTH n'est pas sécurisé. Quand j'ai vérifié sur le cookie de l'inspecteur, il y a quelques biscuits avec indicateur de sécurité. Mais ASPXAUTH n'était pas l'un d'eux.

J'ai fait un peu de recherche, et de définir ces indicateurs ci-dessous sur le web.config

<forms loginUrl="~/Account/Login" timeout="2880"  requireSSL=""  name="AppName" />

et

<httpCookies httpOnlyCookies="true" requireSSL="true" />

En dépit de ces paramètres, le cookie d'authentification n'est pas marqués comme sécurisés. Je suppose que thse drapeaux doivent être suffisamment à la demande d'enregistrement de marque de cookies sécurisés, mais il ya quelques autres cookies qui ne sont pas marqués comme sécurisés. Je ne suis pas trop inquiet à leur sujet, car ils ne contiennent pas de données sensibles. Mais je voudrais drapeau ASPXAUTH aussi sécurisé.

Mes questions sont,

  1. Avec ces drapeaux fixés sur le web.config, c'est d'avoir ASPXAUTH sans indicateur de sécurité d'un problème de sécurité?
  2. Si oui, pourriez-vous me dire quelle est la manière correcte est de le marquer comme sécurisé.

grâce.

InformationsquelleAutor AnarchistGeek | 2014-01-15
  1. 7

    J'ai trouvé ce morceau de code qui fait mon cookie d'authentification sécurisée. Je ne me souviens pas de la source de cela, mais si vous l'ajoutez à votre global.asax, il trie le problème. Je ne sais pas pourquoi, mais requireSSL=true dans votre balise n'a pas été suffisant pour assurer la sécurité.

      protected void Application_EndRequest(Object sender, EventArgs e)
    {
        string authCookie = FormsAuthentication.FormsCookieName;

        foreach (string sCookie in Request.Cookies)
        {
            if (sCookie.Equals(authCookie))
            {
                //Set the cookie to be secure. Browsers will send the cookie
                //only to pages requested with https
                var httpCookie = Response.Cookies[sCookie];
                if (httpCookie != null) httpCookie.Secure = true;
            }
        }
    }
    • ne fonctionne pas contre IBM AppScan. Il revendique toujours le cookie n'est pas sécurisé.
    • Je vois, votre code doit être modifié. L'instruction foreach devraient accéder à la Demande.Des Cookies au lieu de la Réponse.Les témoins.
    InformationsquelleAutor AnarchistGeek
  2. 6

    Votre problème semble être que, parce que votre formulaire n'est pas correctement configuré. Vous avez:

    <forms ... requireSSL="" ... />

    et vous devriez avoir

    <forms ... requireSSL="true" ... />

    Selon Microsoft la requireSSL attribut dans la httpCookies balise est remplacée par le requireSSL attribut de la forms tag. Vous ne définissez pas la valeur, mais vous avez spécifié, il peut provoquer IIS pour utiliser la valeur par défaut de false. Vous devez le régler à true.

    InformationsquelleAutor sparticvs
  3. 0

    Réponse pour votre secong question

    Double Possible de Comment sécuriser .ASPXAUTH jeton

    comme par réponse par xelco

    To prevent forms authentication cookies from being captured and tampered with while crossing the network, ensure that you use SSL with all pages that require authenticated access and restrict forms authentication tickets to SSL channels by setting requireSSL="true" on the <forms> element.

To restrict forms authentication cookies to SSL channels set requireSSL="true" on the <forms> element, as shown in the following code:

<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />

By setting requireSSL="true", you set the secure cookie property that determines whether browsers should send the cookie back to the server. With the secure property set, the cookie is sent by the browser only to a secure page that is requested using an HTTPS URL.
    • Merci. J'ai lu que répondre, et c'est ce que j'ai fait comme je l'ai dit dans la question. J'ai fait exactement ce qui est décrit, mais ASPXAUTH jeton cookie n'est pas toujours marqués comme sécurisés.
    • Je déteste répéter une évidence, mais requireSSL est de savoir comment vous définissez le cookie de sécurité drapeau. owasp.org/index.php/SecureFlag. Une chose à vérifier est la hiérarchie des fichiers de configuration. Il peut être fixé au sommet web.config, mais écrasé dans le sous-répertoire. Vous pouvez également vérifier dans le code. msdn.microsoft.com/en-us/library/...
    InformationsquelleAutor Nilesh Gajare