인증이 필요한 페이지를 조회하려고 시도 할 때 ASP.Net에 추가되는 returnUrl 쿼리 문자열 매개 변수에 대한 질문이 있습니다. Microsoft NerdDinner Sample의 LogOn 작업 (그물에있는 모든 '샘플 인증 코드'와 함께)을 보면 Action의 서명에 선언 된 ReturnUrl 매개 변수가 있으며이를 Redirect() 호출에서 직접 사용합니다. 그러나 WebForms 날짜와 Membership 컨트롤을 사용하여 FormsAuthentication.GetReturnUrl() 호출을 사용합니다. 쿼리 문자열에 URL이 지정되지 않은 경우 '기본 URL'을 반환하는 것 외에도 몇 가지 보안 검사 (교차 앱 리디렉션 및 'IsDangerousUrl()')를 수행합니다. 그 사람들은 더 이상 관심사가 아니거나 그저 그 문제를 무시하는 그물 전체에서 보이는 모든 샘플 '로그온'동작입니까?ASP.Net MVC ReturnUrl Practice
1
A
답변
0
내가 본 샘플에 대해서는 잘 모르겠지만 MVC 에서처럼 폼 인증을 사용하고 FormsAuthenticationModule
프로세싱 (또는 직접 FormsAuthentication
클래스 사용)에서 수행 한 검사의 이점을 누릴 수 있습니다.
IIRC, Visual Studio의 기본 MVC 응용 프로그램에는 ReturnUrl
쿼리 문자열을 사용하도록 쉽게 적용 할 수있는 폼 인증 (AuthenticationService
)과 관련된 어댑터가 포함되어 있습니다.
문제의 샘플이 단순히 XSR 공격을 간과했다고 상상해보십시오.
관련 문제
- 1. asp.net mvc returnurl 구현
- 2. ReturnUrl = Default.aspx for MVC?
- 3. MVC best practice
- 4. returnUrl 설정
- 5. ASP.NET MVC 인증 쿠키
- 6. jQuery errorContainer practice
- 7. Asp.Net MVC FormsAuthenticationTicket
- 8. CButtonColumn 버튼의 returnURL 설정
- 9. ASP.NET MVC 멤버십 제공자
- 10. ASP.NET MVC SSL POST 오류
- 11. ASP.NET MVC 및 로그인 인증
- 12. ASP.Net MVC 쿠키가 지속되지 않음
- 13. Ado Entity Best Practice
- 14. SVN Symfony Best Practice
- 15. PHP __get() best practice
- 16. cmake best practice
- 17. Roboguice/getInstance + best practice
- 18. BlackBerry Lists best practice
- 19. OOP AP CS Practice
- 20. Java list best practice
- 21. Regex practice from Perl
- 22. Asp.Net MVC 3 모바일 페이지 리디렉션
- 23. 인증을 사용하는 ASP.NET MVC 3
- 24. .NET 회원 로그인 ReturnUrl Override
- 25. 수동으로 매개 변수를 작성하십시오. ReturnUrl
- 26. QueryString [ "ReturnUrl"] 사용 방법 및시기
- 27. ReturnUrl 및 스크롤 위치 유지?
- 28. ASP.NET MVC 새로 고침 헤더 문제
- 29. ASP.NET MVC : 기본 페이지의 AuthorizeAttribute
- 30. OSGi loose-coupling best practice
공격에 노출되어있었습니다. 이 기사를 활용하면 문제가 해결되었습니다. [ASP.NET MVC에서 오픈 리디렉션 공격 방지하기 ] (http://weblogs.asp.net/jgalloway/archive/2011/01/25/preventing-open-redirection-attacks-in-asp-net-mvc.aspx) – Terry