Ho avuto un caso piuttosto interessante di hacking sul mio sito Web ASP.Net MVC. Per questo sito ho implementato un sistema di autenticazione piuttosto semplice per la mia area di amministrazione: un cookie crittografato che aveva una firma identificativa per il membro. Ogni volta che l'amministratore visita il sito Web, il cookie viene decodificato e la firma viene verificata. Se corrispondenza non avrebbe dovuto firmare in.Il mio sito web è stato violato usando Statcounter! Statcounter conserva un registro dei cookie?
paio di giorni fa un visitatore sul mio sito mi ha detto che era in grado di accedere al mio sito web semplicemente cliccando senza un link di riferimento per la sua console di Statcounter, che ha indicato il mio area di amministrazione (avevo visitato il suo sito da un link nella mia vista amministratore).
Ha appena fatto clic su un collegamento in statcounter e ha effettuato l'accesso come amministratore!
L'unico modo in cui questo poteva essere successo era se statcounter in qualche modo registrava i miei cookie e li usava quando ha cliccato sul link che punta al mio amministratore!
È logico o comprensibile?
Non capisco cosa sta succedendo. Hai qualche suggerimento su come posso proteggere il mio sito web da cose del genere?
Aggiornamento: Ho creato un sistema di whitelisting degli indirizzi IP per proteggere il mio amministratore da accessi non autorizzati. Fondamentalmente il server ora confronterà l'indirizzo IP del visitatore con una whitelist e consentirà l'accesso solo se l'indirizzo IP è in quell'elenco. Supporta anche i caratteri jolly, quindi andrà bene anche per gli indirizzi IP dinamici.
Anche se non è infallibile, ma prende la sicurezza molte tacche.
non sto usando una variabile statica o globale per contenere i dati di accesso. È fatto attraverso il dizionario ViewData, quindi non penso che il problema che hai delineato possa essersi verificato. Hai qualche altra idea. –