Ich dachte, die .ASPXAUTH war für die Benutzerauthentifizierung? Kann jemand bestätigen, ob dieser Cookie tatsächlich ein Sicherheitsrisiko darstellt und/oder Sitzungsinformationen enthält? Soll es überhaupt benutzt werden oder ist es eine Debug-Sache?Penetration Tester sagen, dass der. ASPXAUTH Cookie unsicher ist und Sitzungsdaten anzeigt?
Ich denke, Sie haben einige Kommentare, die mit Forms Authentication Sicherheit zu tun haben. Weitere Informationen finden Sie hier: h ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx
Worauf es ankommt ist, dass ein cleverer Hacker den Maschinenschlüssel finden kann, der verwendet wird, um die Cookeis zu verschlüsseln und ihre eigenen gefälschten auth Cookies zu erstellen.
Es ist wahrscheinlich erwähnenswert, dass vollständig gepatchte Server diese Sicherheitsanfälligkeit nicht mehr aufweisen: http://technet.microsoft.com/en-us/security/bulletin/MS10-070 – Tao
Tatsächlich konnten sie den Maschinenschlüssel nicht ermitteln se. Sie verwendeten die Fehlermeldungen des Servers, um den Server als Füll-Orakel zu verwenden. Mit dem Orakel und der Brute-Force konnten sie jeden String einzeln verschlüsseln. Durch Erstellen einer verschlüsselten Anfrage für die 'web.config'. Standardmäßig enthält dies nicht den Maschinenkey; Standardmäßig wird es pro App in Bearbeitung generiert, es sei denn, Sie generieren und konfigurieren selbst einen Schlüssel. Die undichte 'web.config' ist immer noch ein Bad Thing ™. –
Von Frage http://StackOverflow.com/Questions/423467/what-is-aspxauth-cookie - ASPXAUTH ist nicht session bezogen - es identifiziert den Benutzer. –