想象一下,你只有一个简单的站点,只有两个页面:login.aspx和secret.aspx。您的网站是安全的,除了ASP.net表单身份验证和一个ASP.net登录服务器控件在login.aspx上。详情如下:
>该站点配置为使用SqlMembershipProvider
>该网站拒绝所有匿名用户
> Cookies被禁用
对于安全性来说,很明显有很多事情需要考虑,但是我对.NET框架附带的零代码开箱即用体验感兴趣。
如果为了这个问题,唯一的攻击点是login.aspx中的用户名/密码文本框,黑客注入的代码是否会允许他们访问我们的secret.aspx页面?
Microsoft提供的零代码开箱即用体验的安全性如何?
解决方法
您仍然有一些未被考虑的变量:
>安全性到您的会员提供商使用的数据存储(在本例中为Sql Server数据库)。
>在同一个IIS中托管的其他站点的安全性
>涉及托管网站的机器的通用网络安全性,或与托管站点的同一网络上
>托管站点的机器的物理安全
>您是否使用适当的措施加密身份验证流量? (HTTPS / SSL)
并不是所有这些问题都是MS具体的,但是值得一提的是,因为任何一个都可以轻松超过您所要求的问题,如果不照顾的话。但是,为了你的问题,我会假设他们没有任何问题。
在这种情况下,我很确定表单身份验证功能应该做什么。我不认为现在有任何活跃的漏洞。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。