dotNetOpenAuth示例问题获得正确的安全上下文

时间:2015-04-20 07:35:38

标签: openid dotnetopenauth federated-identity

我正在浏览dotNetOpenAuth Samples(OpenIdRelyingPartyMVC和OpenIdProviderMvc)并提出一个问题以便更好地理解......

在依赖方App的MembersArea中,我使用OpenID“http://localhost:4864/user/bob3”作为示例。我被重定向到提供者登录页面,然后我使用Bob 5 的凭据。成功登录后,我被重定向回RelyingParty,上面写着“祝贺Bob3 ......”。

这只是依赖方应用中的绑定错误,它接受提交给提供商的OpenID,或者我在Bob3的安全上下文中使用Bob5的凭据进行身份验证,这将是我的一个主要安全问题意见,因为我可以通过提供商处的一个工作用户帐户进行身份验证。

1 个答案:

答案 0 :(得分:2)

我认为您使用的是过时的分支,其中包含3年前发现的安全问题:

http://www.zdnet.com/article/dotnet-projects-flawed-sample-code-has-crippling-authentication-exploit/

有缺陷的控制器代码: https://github.com/DotNetOpenAuth/DotNetOpenAuth.Samples/blob/master/src/OpenID/OpenIdProviderMvc/Controllers/OpenIdController.cs

固定代码: https://github.com/DotNetOpenAuth/DotNetOpenAuth/blob/develop/samples/OpenIdProviderMvc/Controllers/OpenIdController.cs

修复的差异: https://github.com/DotNetOpenAuth/DotNetOpenAuth/commit/cdd3e95f4eac8076ffd78641bf4cf61d4422572a

在我看来,"主人"分支已经过时了,而#34;开发"分支是我们应该使用的分支。

相关问题
最新问题