В ходе теста на проникновение мы получили уведомление о том, что наш веб-сайт не защищает файлы cookie ASPXAUTH и ASP.NET_SessionId.
Я внес несколько изменений для защиты файлов cookie.
- 1) Добавлен атрибут requireSSL="true" в элемент System.Web -> Authentication -> Forms в web.config.
- 2) В коде, который очищает файлы cookie ASP.NET_SessionId и ASPXAUTH при первоначальном входе в систему и выходе из системы, что делает их безопасными и только HTTP.
- 3) В метод Application_EndRequest Global.asax добавлен код, который специально устанавливает для файлов cookie ASP.NET_SessionId и ASPXAUTH в Response.Cookies значения Secure и HttpOnly.
Я не могу понять, почему второй имеет значение, но без него файл cookie ASP.NET_SessionId никогда не отображается в объекте ответа как безопасный.
Используя инструменты разработчика Chrome, я сделал снимок экрана в несколько моментов времени, и некоторые действия выглядят для меня неожиданными. Если бы кто-то мог взглянуть на это и сообщить мне, правильно ли все работает, я был бы очень признателен.
Этот снимок экрана был сделан при начальной загрузке страницы после очистки файлов cookie для сайта: При начальной загрузке страницы
Два файла cookie SessionId кажутся мне странными, почему один безопасный, а другой нет?
Этот снимок экрана был сделан после нажатия кнопки входа на сайт:после нажатия входа
Это имеет для меня еще меньше смысла, почему файл cookie ASP.NET_SessionId в запросе не помечен как безопасный или HttpOnly, это ожидаемое поведение? Я предполагаю, что файл cookie SessionId, отправленный в ответ, не является правильным поведением
Этот снимок экрана был сделан после перехода по ссылке на сайте для просмотра новой страницы:введите здесь описание изображения< /а>
Если возможно, это имеет еще меньше смысла для меня. Два рассматриваемых файла cookie отправляются в запросе, оба не установлены HttpOnly или Secure. Это правильное поведение? Кроме того, ни один из файлов cookie не отображается в ответе правильно?
Я провел довольно много времени здесь, на StackOverflow и в Google, пытаясь найти правильный способ настройки этих файлов cookie. Я просто не знаю, правильно ли то, что я сделал, так как я не уверен, как должна выглядеть фиксированная реализация.
Любая помощь, которая может быть оказана, будет очень признательна.
Спасибо, - Натан