代码漏洞扫描描述Cross Site History Manipulation解决办法[dongcoder.com]

代码漏洞扫描

漏洞描述：Cross Site History Manipulation

简要描述：产品的行为差异或发送不同的反应，在某种程度上暴露了与安全性相关的产品状态，例如特定的操作
是否成功。
可能的漏洞消除办法：

区分你的系统"安全"的区域，这些区域可以明确地绘制信任边界。不允许敏感数据到信任边界的外面
，和安全区域外的空间交互时需要时刻小心。
为错误条件设置通用的响应。这个错误页面不应该透露有关成功或失败的敏感性操作的信息。例如，
登录页面不应该确认登录是正确的和密码是错误的。攻击者想通过尝试输入随机帐户名称来猜测正确
账户名其中的一些。确认帐户存在将使登录页面更容易受到强力攻击。

解决办法：

验证成功后，有页面跳转，这时给页面加一个随机数，如下：

 

?

1	Response.Redirect("dongcoder.aspx?rand=" + Common.getRandValue());

　　

其中getRandValue方法如下，

 

 

?

1 2 3 4 5 6 7 8 9 10 11 12 13

public static string getRandValue()     {         string randValue = "";         using (RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider())         {             byte[] data = new byte[4];             rng.GetBytes(data);             Int32 value = BitConverter.ToInt32(data, 0);             if (value < 0) value = -value;             randValue = value.ToString();         }         return randValue;     }

　　

需要添加引用

 

?

1	using System.Security.Cryptography;

　　

 

这里用了另外生成随机数的方法，如果使用常用Random方法则还会继续爆出漏洞。

摘自：代码漏洞扫描描述Cross Site History Manipulation解决办法