Indicador de seguridad para ASPXAUTH Cookie en MVC

3

Tenemos una aplicación que se desarrolla utilizando ASP.NET MVC3. Prueba de penetración realizada por una herramienta IBM AppScan.

Se ha informado un problema y era ASPXAUTH no es seguro. Cuando verifiqué las herramientas de desarrollo del navegador, hay algunas cookies con marca de seguridad. Pero ASPXAUTH no fue uno de ellos.

YaheincluidolasiguientelíneadecódigoenelarchivoWeb.Config.

<httpCookiesrequireSSL="true"/>

Nota: No estamos utilizando la autenticación de formularios para iniciar sesión.

¿Cuál es la forma correcta de marcar ASPXAUTH como seguro?

    
pregunta Ask_SO 13.10.2017 - 13:14
fuente

2 respuestas

0

Voy a aventurarme a adivinar y decir que este indicador en su configuración se está ignorando:

Mirando el enlace dice que "esta configuración está anulada por cualquier otra característica que expone la configuración de requireSSL "

Una forma de asegurarse de que esté configurado sería hacerlo en código dedicado.

Esta respuesta de desbordamiento de pila tiene un ejemplo

Básicamente, antes de que la respuesta se complete en protected void Application_EndRequest(Object sender, EventArgs e) en Global.asax , verifique la cookie correcta y establezca la propiedad .Secure en true

    
respondido por el ste-fu 13.10.2017 - 13:57
fuente
0

Compruébelo en MSDN

  

Para evitar que se capturen las cookies de autenticación de formularios y   manipulado al cruzar la red, asegúrese de usar SSL con   Todas las páginas que requieren acceso autenticado y formularios restringidos.   entradas de autenticación a los canales SSL mediante la configuración    requireSSL="true " en el elemento .

    
respondido por el Soufiane Tahiri 13.10.2017 - 14:30
fuente

Lea otras preguntas en las etiquetas