【发布时间】:2013-06-06 18:02:53
【问题描述】:
我正在尝试确定可能的站点实施中可能存在的漏洞。
我们需要能够确定用户是从本地 IP 地址还是外部地址登录网站。我知道 IP 地址可以被欺骗,尽管欺骗者无法获取太多信息。
我在想一个人可能会欺骗本地 IP,执行一个 post 操作来修改服务器的数据,尽管这很困难(预测序列号)。
如果网站在所有发布请求上都使用了验证令牌,这可能会有所帮助。特别是我正在使用 .Net MVC 4 的 AntiForgeryToken。我不确定令牌是如何被键入给用户的。
我的问题是,如果欺骗者正常进入页面获取令牌,然后欺骗他的IP并使用令牌发帖,这会成功吗?
我知道我们正在进入难以置信的领域,但是……也许举个例子可能会有所帮助。假设当用户登录应用程序时检测到 IP(不使用 HTTP_X_FORWARDED_FOR)并将会话设置为本地或远程。恶意用户是否可以加载登录屏幕、获取令牌、欺骗他们的 IP 地址(假设他们能够确定序列号并发布),然后使用该 IP 地址将其设置为本地发布登录信息?
任何见解将不胜感激。
谢谢, 菲利普
【问题讨论】: