标签:c asp-net asp-net-mvc url-redirection owasp
任务:
在ASP.NET MVC 5申请中防止open redirection
故事:
用户在网站的某个网页/上,例如概述页面/主页/概述并点击登录
登录后,服务器返回一些绝密的用户特定数据,并重定向到用户发起登录请求的同一页面.
我需要确保服务器在登录后不会愚蠢地重定向到黑客的网站,并且还传递绝密的用户特定数据.
的价值观
> _Controller.Request.UrlReferrer
> _Controller.Request.UrlReferrer.AbsoluteUri
> _Controller.Request.Url.AbsoluteUri
> _Controller.Url.IsLocalUrl(returnUrl)
分别是:
> {https:// localhost:44300 / Home / Overview}
>“https:// localhost:44300 / Home / Overview”
>“https:// localhost:44300 /帐户/登录?returnUrl = / Home / Overview”
>假
Url.IsLocalUrl的值为false,这在逻辑上是错误的.
在这种情况下,如何确保用户在成功登录后安全地重定向到/ Home / Overview而不是http://blackHatHackerWebsite.com?
为什么对于ASP.NET MVC中的本地URL,Url.IsLocalUrl为false?
解决方法:
Url.IsLocalUrl(“/ Home / Overview”)绝对是真的.你弄错了,因为它正在评估Url.IsLocalUrl(“/ Home / Overview”).也就是说,returnUrl是url编码两次.尝试找到不必要的编码.
标签:c,asp-net,asp-net-mvc,url-redirection,owasp 来源: https://codeday.me/bug/20190523/1156701.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。