原创 By Fancyf(Fancyray) http://blog.csdn.net/fancyf/
写完了《ASP.NET Forms Authentication所生成Cookie的安全性》,觉得可以为Forms的安全性松一口气了,结果最初提出问题的贴主又提到了一个问题:MachineKey是怎样实现的?同一台虚拟主机上不同的Web Application所使用的MachineKey是不是一样的?上次没想到这个为题,再做一下试验。
试验思路:在同一台电脑上新建一个WebApplication,所绑定的域名不一样,也不在同一个应用程序池中。在新建的WebApplication生成一个Cookie,把值拿到原先的WebApplication中看看能否通过验证。
试验过程:为了绑定不同的域名,在这台电脑上启动了DNS服务,并将网络连接中的DNS服务器指向了这台电脑的IP。根据FormsAuthenticationTicket构造函数的原型:
public FormsAuthenticationTicket(int version, string name, DateTime issueDate, DateTime expiration, bool isPersistent, string userData, string cookiePath)
以及在GetAuthCookie(...)中的调用方法:
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, userName, DateTime.Now, createPersistentCookie ? DateTime.Now.AddYears(50) : DateTime.Now.AddMinutes((double) FormsAuthentication._Timeout), createPersistentCookie, "", strCookiePath);
决定在测试页面上放两个文本框,一个是用户名txtUsername2,一个是时间txtGenDate(代替DateTime.Now),然后在Generation按钮的Click事件中这样写:
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
运行发现,对相同的用户名和生成时间,FormsAuthentication.Encrypt(ticket1)所得到的结果每次都不一样,但是每个结果都是有效的。
现在把这个页面拿到新建立的WebApplication中运行,把得到的一组结果放在了原WebApplication的Login.aspx页面上:
<script language=javascript>
document.cookie="MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A";
</script>
在原WebApplication程序中启动一个非登录页面(upload.aspx),结果正常跳转到了login.aspx页面。此时应该已经执行了上面的js程序,也就是说另一个程序中生成的cookie已经生效了。直接再次输入upload.aspx的URL,结果通过了验证!此时通过ieHttpHeaders可以清楚地看到,浏览器发送的请求中有这个值"MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A"。
这说明,MachineKey的确只与Machine有关,而与WebApplication无关。一个Application生成的Cookie也可以通过其他Application的Forms验证!值得担心的事情终于出现了。A和B两个WebApplication在同一台电脑上的两个不同的虚拟主机,A中使用了Forms验证。B只要执行:
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
这样一段代码可以生成在A中合法的一个用户名所对应的Cookie,B通过伪造Cookie的方式向A发出请求,就可以通过A的验证,从而获的任何一个用户的权限!这一切都太简单了,不需要任何高深的技术,只要A和B在同一台电脑上!!!而且根据《ASP.NET Forms Authentication所生成Cookie的安全性》得出的结论,A无论是修改B所冒用的用户的密码还是在A上注销这个用户,都无法阻止B的行为,除非禁用这个用户名,而且不让B获得任何一个合法的用户名才能避免再次被仿冒。
这下我是不敢在虚拟主机上仅仅使用Forms验证了。如果你的ASP.NET主机上还有其他用户,还是尽快加强安全措施吧。Forms验证根本就不是给虚拟主机的用户用的,也根本没有考虑虚拟主机的安全性。
免责声明:本文仅仅是从技术的角度来探讨系统的安全性,任何人对本文的使用仅限于加强自己的网站的安全性,不得利用本文的内容从事非法活动。且作者不承担任何人利用本文给第三方造成的损失。
