2
有一個asp.net網站,身份驗證如下。該網站的鏈接將從門戶訪問。使用cleartrust,服務器變量將被設置。其中一個服務器變量是「UserID」。使用服務器變量進行身份驗證
在主頁中,使用以下邏輯。它檢索服務器變量「UserID」。如果它返回一個非空值,則認爲它是已認證的。
我需要證明上述方法是不夠的。這意味着,當其他人通過設置服務器變量向網站URL發出請求時,他們可以看到數據。我想創建另一個網站,通過設置服務器變量來調用當前網站。是否有可能這樣做?
protected void Page_Load(object sender, EventArgs e)
{
string user = getCtHeader(this.Request, "UserID").Trim();
}
public static string getCtHeader(HttpRequest request, string key)
{
string value = request.ServerVariables[key];
return value;
}
}
你可以嘗試使用WebRequest的從其他網站加載的認證頁面,調用的GetResponse()方法 – CoderRoller 2012-07-31 12:49:41
是你基本上試圖證明這個系統很容易受到會話固定? – Alex 2012-07-31 12:50:04