62,046
社区成员
发帖
与我相关
我的任务
分享急求帮助解决漏洞:CSRF跨站点请求伪造!十分感谢!
漏洞:CSRF跨站点请求伪造;现已经尝试:
protected void Page_Init(object sender, EventArgs e)
{
this.ViewStateUserKey = Session.SessionID;
}
但页面报错,后在aspx的:<%@ Page 中增加EnableViewStateMac="false" 不报错了,但依然无法通过漏洞扫描。
aspx的页面中有Timer控件是循环执行,发现每次执行都会更新this.ViewStateUserKey = Session.SessionID;
不知道是不是此原因导致this.ViewStateUserKey = Session.SessionID;无法解决此漏洞。
请求大家帮助,是否有其他可行的方式,请尽可能提供源代码供参考!万分感谢!
protected void Page_Init(object sender, EventArgs e)
{
this.ViewStateUserKey = Session.SessionID;
}
但页面报错,后在aspx的:<%@ Page 中增加EnableViewStateMac="false" 不报错了,但依然无法通过漏洞扫描。
aspx的页面中有Timer控件是循环执行,发现每次执行都会更新this.ViewStateUserKey = Session.SessionID;
不知道是不是此原因导致this.ViewStateUserKey = Session.SessionID;无法解决此漏洞。
请求大家帮助,是否有其他可行的方式,请尽可能提供源代码供参考!万分感谢!
...全文
请发表友善的回复…
发表回复
笨笨兔兔兔兔兔 2011-07-02
- 打赏
- 举报
[Quote=引用 13 楼 hanguoji84 的回复:]
都增加UrlReffer的认证,不通过的就服务器端的Response.Redirect() 不用JS脚本在CS代码中应该能通过安全扫描。
[/Quote]
reffer可以伪造
都增加UrlReffer的认证,不通过的就服务器端的Response.Redirect() 不用JS脚本在CS代码中应该能通过安全扫描。
[/Quote]
reffer可以伪造
hanguoji84 2011-06-30
- 打赏
- 举报
都增加UrlReffer的认证,不通过的就服务器端的Response.Redirect() 不用JS脚本在CS代码中应该能通过安全扫描。
笨笨兔兔兔兔兔 2011-04-13
- 打赏
- 举报
本站a页面 a.aspx 链接 b.aspx
b.aspx?sessionid=<%=Session.SessionID.ToString()%>
b.aspx
int sessionID = Convert.ToInt32(Request.QueryString("sessionid"));
if(sessionID == Session.SessionID)
{
}
解决get请求
b.aspx?sessionid=<%=Session.SessionID.ToString()%>
b.aspx
int sessionID = Convert.ToInt32(Request.QueryString("sessionid"));
if(sessionID == Session.SessionID)
{
}
解决get请求
笨笨兔兔兔兔兔 2011-04-13
- 打赏
- 举报
这个挺简单的,不好意思现在我太忙了.......我当时的那个帖子好像给解决方案了,我现在先mark 以后回答你,不好意思
hanguoji84 2011-04-13
- 打赏
- 举报
我现在发现如果是get请求怎么办?
hanguoji84 2011-04-13
- 打赏
- 举报
尝试下!
guilipan 2011-04-13
- 打赏
- 举报
每次页面产生的时候在页面上保存一个token(可以用hiddenfield保存这个token),当post这个请求的时候将这个token进行对比,如果一样才允许后续的代码执行,否则提示用户
hanguoji84 2011-04-13
- 打赏
- 举报
但我不加:EnableViewStateMac="false" 页面会报错:
消息: Sys.WebForms.PageRequestManagerServerErrorException: 验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。
是不是因为Timer控件导致。
消息: Sys.WebForms.PageRequestManagerServerErrorException: 验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。
是不是因为Timer控件导致。
porschev 2011-04-13
- 打赏
- 举报
不太清楚。。但你关了应该是过不了漏洞扫描的
EnableViewStateMac为false,就不会去验证加密的视图状态在客户端上是否未被篡改
这样应该是通不过漏洞扫描。。
hanguoji84 2011-04-13
- 打赏
- 举报
请大家帮忙
hanguoji84 2011-04-13
- 打赏
- 举报
请问如何解决?您罗列了一些,但没有解决方案?
子夜__ 2011-04-13
- 打赏
- 举报
