台灣最大程式設計社群網站
線上人數
625
 
會員總數:244997
討論主題:188957
歡迎您免費加入會員
討論區列表 >> ASP.NET >> ScriptResource.axd 和 WebResource.axd在IBM的安全掃描問題
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
ScriptResource.axd 和 WebResource.axd在IBM的安全掃描問題
價值 : 50 QP  點閱數:452 回應數:2

樓主

小老肥
門外漢
0 1
50 1
發送站內信


偽造跨網站要求
嚴重性: 中
CVSS 評分: 6.4
URL:: https://OOXX/ScriptResource.axd
實體: ScriptResource.axd (Page)
風險: 有可能竊取或操作客戶階段作業和 Cookie,其可能用來假冒合法的使用者,讓駭客可以檢視或變更使
原因: 應用程式所使用的鑑別方法不足
修正: 請驗證 "Referer" 標頭的值,並對每一個提交的表單使用 one-time-nonce
差異: 標頭 操作來源:
https://OOXX/Index.aspx 到:
http://bogus.referer.ibm.com
---------------------------------------------------------
目前上面兩個會被安全掃描報告為有偽造跨網站要求,
ScriptResource.axd 會在有UpdatePanel的地方出現,
WebResource.axd 會在有我們有使用特定元件的地方出現(dll)
環境為C# webform framework4.0
想請問在不移除上面的情況下,能解決他的弱點掃描問題嗎?


搜尋相關Tags的文章: [ WebResource.axd ] , [ ScriptResource.axd ] , [ axd ] , [ 安全掃描 ] ,
本篇文章發表於2019-02-27 01:49
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
1樓
回應

topcat
捐贈 VP 給 topcat 檢舉此回應
這一篇參考一下
https://dotblogs.com.tw/joysdw12/2013/09/16/asp-net-cross-site-request-forgery

其中,如果不改變太多的前提下
ViewStateUserKey 的部分或許可以嘗試看看

^_^
本篇文章回覆於2019-02-28 11:05
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

小老肥
檢舉此回應
先說聲感謝,我是看過您的這邊文章之後才隊友CSRF有概念的...
不過我目前說的兩個檔案,算是asp.net自行生成的,一個是給asp元件的ajax功能(updatepanel)使用的,另外一個是生成需要的js檔給元件使用的,所以我不太知道這部分要怎麼處理...
本篇文章回覆於2019-02-28 22:27
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.