Представьте, что у вас есть простой сайт всего с 2 страницами: login.aspx и secret.aspx. Ваш сайт защищен, используя только аутентификацию форм ASP.net и элемент управления сервером входа ASP.net на login.aspx. Подробности следующие:
- Сайт настроен на использование SqlMembershipProvider
- Сайт отклоняет всех анонимных пользователей
- Файлы cookie отключены.
Очевидно, есть много вещей, которые следует учитывать в отношении безопасности, но меня больше интересует нулевой код из коробки, который поставляется с инфраструктурой .net.
Если для этого вопроса единственными точками атаки являются текстовые поля username/password в login.aspx, может ли хакер вводить код, который позволит им получить доступ к нашей странице secret.aspx?
Насколько безопасен нулевой код из коробки, который предоставляет Microsoft?