ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / подмена пользователя при аутентификации forms. почему?
12 сообщений из 12, страница 1 из 1
подмена пользователя при аутентификации forms. почему?
    #38250944
Фотография a_titeev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
a_titeev
Участник
еще раз доброго вечера.
столкнулся с ситуацией, которой не должно бвть в принципе. сервер w2008. iis то что есть. хостим сайт. используется обычная формс-аутентификация. все закрыто. некий просто закрытый сайт.
работает все прекрасно некоторое время - 3 месяца. потом вдруг внезапно трагедия. чувак аутентифицируется как Иванов, пару раз обновляет страницу и становится Петровым. при этом аутентификационные куки почему то становятся со сроком истечения и пц. и все остальные точно также становятся именно этим Петровым. помогает только переименовывание куки аутентификации в веб-конфиге....
но через месяц ситуация повторяется. что делать? менять имена куков? но ведь такого быть не должно в принципе...
...
Рейтинг: 0 / 0
07.05.2013, 21:16
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38250962
Фотография МСУ
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
МСУ
Участник
А Петров с компьютера Иванова логинился под собой?
...
Рейтинг: 0 / 0
07.05.2013, 21:35
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38250981
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
a_titeev,

XSS может?
...
Рейтинг: 0 / 0
07.05.2013, 22:02
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251018
Фотография a_titeev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
a_titeev
Участник
МСУА Петров с компьютера Иванова логинился под собой?все хуже. я логинился ивановым на своем ноуте с мобильным инетом... и три человека видели как экспирэйшн тайм у аутентификационных куки появляются после обновления страницы (просто файербагом смотрели) , а после второго я уже аутентифицировался петровым. притом когда это случилось - это уже продолжает быть везде и для всех. пока не переименовываеешь куки, как писал...
...
Рейтинг: 0 / 0
07.05.2013, 22:37
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251020
Фотография a_titeev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
a_titeev
Участник
hVostta_titeev,

XSS может? есть подозрения, но толь подозрения. что конкретно проверять и не пойму...
...
Рейтинг: 0 / 0
07.05.2013, 22:39
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251057
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
a_titeev,

в логах надо покопаться. скурпулезно изучить именно те самые моменты, когда аутентификация подменяется, в логах должно быть максимум информации, о том, что приходит в куках от пользователей и что им отдается.

возможно это глюк конечно, но не очень вероятно. если XSS, посмотрите те места, где возможен ввод данных пользователями и проверяется ли он на AntiXSS, можно прогнать всю инфу в базе на предмет наличия "дырявых" данных.

не исключено, что Петров хакер и поломал компы ваших клиентов, и не чаще раза в месяц лазит на сайт почему-то под своим аккаунтом с чужих компов. что несколько странно )))
...
Рейтинг: 0 / 0
07.05.2013, 23:34
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251077
Фотография МСУ
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
МСУ
Участник
a_titeevМСУА Петров с компьютера Иванова логинился под собой?все хуже. я логинился ивановым на своем ноуте с мобильным инетом... и три человека видели как экспирэйшн тайм у аутентификационных куки появляются после обновления страницы (просто файербагом смотрели) , а после второго я уже аутентифицировался петровым. притом когда это случилось - это уже продолжает быть везде и для всех. пока не переименовываеешь куки, как писал...
Кастомно аутенцифицируешь юзера или всё нативно без вмешательства в тикеты?
...
Рейтинг: 0 / 0
08.05.2013, 00:04
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251080
Фотография a_titeev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
a_titeev
Участник
МСУ,

все нативно. никаких извращений. вообще все примерно там так как в примерах из книги.
...
Рейтинг: 0 / 0
08.05.2013, 00:10
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251086
Фотография a_titeev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
a_titeev
Участник
hVostt,
логи проверял, буду еще конечно, но пока ничего не нашел.
обычный xss здесь вообще тож не может быть, судя по всему. что-то не то совсем. ввод минимален. возможно ли что речь идет о подлоге куки каким то образом?
...
Рейтинг: 0 / 0
08.05.2013, 00:17
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38251529
Фотография МСУ
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
МСУ
Участник
Вообще жесть какая-то. Уверен, прицепился какой-нить хттп модуль и гадит. Или асакс.
...
Рейтинг: 0 / 0
08.05.2013, 11:59
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38252088
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
нужно правильно настроить провайдер ролей и мемершипов.
покажите свой кусок web.configa
...
Рейтинг: 0 / 0
08.05.2013, 16:44
| Ответить | Цитировать | Написать  
подмена пользователя при аутентификации forms. почему?
    #38253965
Фотография a_titeev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
a_titeev
Участник
hVostt,

да нет вроде. мембершип не стандартный, но заюзан не первый раз. там ничего интересного. да и проявилось только после перевода на 4.5. возможно все же баг. нигде не нашел каким таким волшебным образом у аутентификационных куки вдруг может появится экспирэйшн тайм. все начинается со второго запроса. у куков появляется экспирэйшн, притом со временем, вроде как совпадающем со временем запроса, только в ютц. а на третьем запросе подменяется пользователь.
интересно что все аяксовые запрсы в это же время отрабатывают нормально. до тех пор пока полностью страницу не обновляю...
нк да ладно спишу пока на багушки, там посмотрим. в конце концов - за несколько месяцев было всего два раза, и никакой периодичности не увидел...
...
Рейтинг: 0 / 0
11.05.2013, 22:27
| Ответить | Цитировать | Написать  
12 сообщений из 12, страница 1 из 1
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / подмена пользователя при аутентификации forms. почему?
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]