日期:2014-05-18  浏览次数:20490 次

虚拟主机使用ASP.NET自带的FORM验证漏洞问题
虚拟主机使用ASP.NET自带的FORM验证时,每个客户端的用于记录验证的COKE都是与客户端无关的,只与服务器有关;但虚拟主机是多个网站公用一个服务器,所以用一个虚拟空间产生的COKE就可以任意登陆其他虚拟空间的网站.看来还是用SEESION好点,那用了SESSION还要自带的FORM验证干嘛?大家讨论下,麻烦大虾给讲下自带的FORM验证和SESSION的完整流程和原理.

------解决方案--------------------
帮顶了
------解决方案--------------------
楼主应该弄错了吧,form其实就是加密的cookies
------解决方案--------------------
用session的话每张网页都要判断(在page_load里)


自带的Form认证只要在web.config,页面里不需要再写代码


虚拟机上还是用自己的form认证session、cookie,这样好点
------解决方案--------------------
继承PageBase就行了,不用每个都写验证。
------解决方案--------------------
直接写在webconfig里不就行了?
------解决方案--------------------
理解错了吧。。。
------解决方案--------------------
你自己的电脑建两个站点,你用一个登录,看能不能用第二个?
------解决方案--------------------
的确是个很大的漏洞!!!