想象一下,您有一个只有 2 个页面的简单网站:login.aspx 和 Secret.aspx。仅使用 ASP.net 表单身份验证和 login.aspx 上的 ASP.net 登录服务器控件来保护您的站点。详情如下所示:
- 该站点配置为使用 SqlMembershipProvider
- 该网站拒绝所有匿名用户
- Cookie 已禁用
显然,关于安全性有很多事情需要考虑,但我对 .net 框架附带的零代码开箱即用体验更感兴趣。
对于这个问题,如果唯一的攻击点是 login.aspx 中的用户名/密码文本框,那么黑客是否可以注入代码来允许他们访问我们的 Secret.aspx 页面?
Microsoft 提供的零代码开箱即用体验有多安全?
您仍然有一些未考虑的变量:
- 会员资格提供商使用的数据存储(在本例中为 Sql Server 数据库)的安全性。
- 同一 IIS 中托管的其他站点的安全性
- 托管站点所涉及的计算机或托管站点的同一网络上的计算机的一般网络安全性
- 托管站点的计算机的物理安全
- 您是否使用适当的措施来加密身份验证流量? (HTTPS/SSL)
并非所有这些问题都是 MS 特有的,但它们值得一提,因为如果不加以处理,其中任何一个问题都可能很容易超过您所询问的问题。但是,出于您提出问题的目的,我假设它们没有任何问题。
在这种情况下,我很确定表单身份验证会完成它应该做的事情。我认为目前没有任何活跃的漏洞利用。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
