當你的用戶被黑客攻擊時該怎麼辦

Question

我最近在用戶代理「Microsoft URL Control - 6.01.9782」導致問題的日誌文件中看到了一個趨勢。當我追蹤IP時，它來自中國或印度。我們的網站是非常具體的，所以我們很少有來自城市外的遊客。

有趣的是，我看到一個有效的登錄用戶通過openID。我對於發生的事情的猜測是，用戶計算機cookie正在被克隆，並且病毒正在劫持會話。我使用內置的asp.net身份驗證來處理我的Cookie，並且Microsoft不包含任何對IP或用戶代理的檢查，因此我知道我可以複製cookie並僞造登錄。

我已經看到Google和Facebook賬號登錄就像這樣。

我的問題是：

A）有一個簡單的方法，使asp.net身份驗證更安全？

B）我應該如何處理這些帳戶？ （最佳做法）我不收集任何個人信息，也無法聯繫我的一些用戶。

Answer 1

您可以使用阻止客戶端腳本通過document.cookie屬性訪問cookie的HttpOnly。 Cookie仍然會往返，但不會被腳本訪問，也不會被盜取。

在ASP.NET 1.1中，添加在Global.asax中的代碼波紋管：

protected void Application_EndRequest(Object sender, EventArgs e) 
{  
    foreach(string cookie in Response.Cookies)  
    {   
     const string HTTPONLY = ";HttpOnly";   
     string path = Response.Cookies[cookie].Path;  
     if (path.EndsWith(HTTPONLY) == false)  
     {    
      //force HttpOnly to be added to the cookie   
      Response.Cookies[cookie].Path += HTTPONLY;   
     }  
    } 
} 

在ASP.NET 2.0及以上版本，你可以使用web.config中：

<system.web> 
    <httpCookies httpOnlyCookies="true" /> 
</system.web> 

如果安全性在您的系統中非常重要，更好的方法是投資SSL（安全套接字層）連接到您的站點。然後，您可以設置cookie屬性，以便僅在存在SSL連接時纔會傳輸cookie。 SSL不會保護cookie在用戶計算機上時被讀取或操作，但它確實會阻止cookie在傳輸過程中被讀取，因爲cookie已加密。 這種方法需要獲得SSL證書。

這可以在web.config的httpcookies元素中完成。

<system.web> 
    <httpCookies requireSSL="true" /> 
</system.web> 

如果連接不是SSL，則cookie不會發送到服務器。

查看更多：

ASP.NET Cookies FAQ

Design and Deploy Secure Web Apps with ASP.NET 2.0 and IIS 6.0

Answer 2

這裏需要考慮的安全邊界。如果最終用戶的個人電腦遭到入侵，您可以在您的網站上做任何事情沒有什麼，以便100％確定攻擊者無法像用戶那樣行事。一個精心設計的惡意軟件可以充當用戶，看到他們看到的任何東西，並捕獲他們輸入的任何內容，包括密碼。

的負責的事情，事實上，什麼樣的谷歌網站做，是通知他們的帳戶是從犯罪嫌疑人的IP訪問用戶，並給它們鏈接到如何清理自己的PC的信息，改變自己所有網站（特別是他們的電子郵件提供商）的密碼，並防止身份盜用。您可以通過批量作業完成此操作，標記其帳戶並在下次登錄時彈出明亮的紅色警告標誌，甚至可以向他們發送電子郵件，讓他們知道發生了什麼。