您所在位置:主题:[讨论]这个登录验证是否安全
URCLLC
[专家分:1080] 发布于 2006-05-07 16:29:00
请各位大侠看下这个登录验证机制是否安全,如果您们认为存在安全漏洞,欢迎给出攻击实例.对可行的攻击实例,给予20分奖励/不同的实例
两个页面在同一台服务器上(运行IIS5/6),假设
服务器——http://server
页面1——Login.aspx
页面2——Secret.aspx
客户端——只讨论IE(可以在代码中进行检测)
我要用户无论是输入http://server/Login.aspx还是http://server/Secret.aspx,都自动转到Login.aspx进行验证.一次验证,只能在本浏览器线程有效(即登录后再新开浏览器进程或线程都要重新再登录)
全部是用VB.net写的code behind
Login.aspx
If passed Then Server.Transfer("Secret.aspx") Else Response.Write("验证失败")
Secret.aspx
If IsPostBack OrElse Request.Url.AbsolutePath.ToLower.EndsWith("login.aspx") Then
Response.Write("您是合法用户,欢迎您")
Else
Response.Redirect("Login.aspx")
End If
两个页面在同一台服务器上(运行IIS5/6),假设
服务器——http://server
页面1——Login.aspx
页面2——Secret.aspx
客户端——只讨论IE(可以在代码中进行检测)
我要用户无论是输入http://server/Login.aspx还是http://server/Secret.aspx,都自动转到Login.aspx进行验证.一次验证,只能在本浏览器线程有效(即登录后再新开浏览器进程或线程都要重新再登录)
全部是用VB.net写的code behind
Login.aspx
If passed Then Server.Transfer("Secret.aspx") Else Response.Write("验证失败")
Secret.aspx
If IsPostBack OrElse Request.Url.AbsolutePath.ToLower.EndsWith("login.aspx") Then
Response.Write("您是合法用户,欢迎您")
Else
Response.Redirect("Login.aspx")
End If