代碼漏洞掃描描述Cross Site History Manipulation解決辦法[dongcoder.com]

代碼漏洞掃描

漏洞描述：Cross Site History Manipulation

簡要描述：產品的行爲差別或發送不一樣的反應，在某種程度上暴露了與安全性相關的產品狀態，例如特定的操做
是否成功。
可能的漏洞消除辦法：

區分你的系統"安全"的區域，這些區域能夠明確地繪製信任邊界。不容許敏感數據到信任邊界的外面
，和安全區域外的空間交互時須要時刻當心。
爲錯誤條件設置通用的響應。這個錯誤頁面不該該透露有關成功或失敗的敏感性操做的信息。例如，
登陸頁面不該該確認登陸是正確的和密碼是錯誤的。攻擊者想經過嘗試輸入隨機賬戶名稱來猜想正確
帳戶名其中的一些。確認賬戶存在將使登陸頁面更容易受到強力攻擊。

解決辦法：

驗證成功後，有頁面跳轉，這時給頁面加一個隨機數，以下：

 

Response.Redirect("dongcoder.aspx?rand=" + Common.getRandValue());

　　

其中getRandValue方法以下，

 

 

public static string getRandValue()
    {
        string randValue = "";
        using (RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider())
        {
            byte[] data = new byte[4];
            rng.GetBytes(data);
            Int32 value = BitConverter.ToInt32(data, 0);
            if (value < 0) value = -value;
            randValue = value.ToString();
        }
        return randValue;
    }

　　

須要添加引用

 

using System.Security.Cryptography;

　　

 

這裏用了另外生成隨機數的方法，若是使用經常使用Random方法則還會繼續爆出漏洞。

摘自：代碼漏洞掃描描述Cross Site History Manipulation解決辦法