我正在尝试确定可能的网站实施中可能存在的漏洞。
我们需要能够确定用户是从本地IP地址还是外部登录站点。我知道IP地址可能是欺骗性的,虽然欺骗者无法获得太多信息。
我当时认为一个人可以欺骗本地IP,执行后期操作来修改服务器的数据,尽管这很难(预测序列号)。
如果网站在所有帖子请求中使用了验证令牌,这可能会有所帮助。特别是我正在使用.Net MVC 4的AntiForgeryToken。我不确定令牌是如何键入用户的。
我的问题是,如果欺骗者通常去一个页面获取令牌,然后欺骗他的IP并使用令牌做一个帖子,这会成功吗?
我知道我们已经进入了难以置信的境界,但......也许一个例子可能有所帮助。让我们说当用户登录应用程序时检测到IP(不使用HTTP_X_FORWARDED_FOR)并将会话设置为本地或远程。恶意用户是否可以加载登录屏幕,获取令牌,欺骗他们的IP地址(假设他们能够确定序列号并发布),然后使用该IP地址发布登录,将其设置为本地?
任何见解都将受到赞赏。
谢谢, 菲利普
答案 0 :(得分:0)
您网站的防火墙应阻止地址块中包含源IP的任何内容,以防止首先出现IP欺骗。