在我们的解决方案中,我们将相应的配置设置为标记为SECURE和HTTPONLY,正如人们所期望的那样。在我们的第一次PEN测试中,我们通过了,一切都很好。即使没有更新代码,我们也经常进行PEN测试,而在第二次传递中我们失败了。在审查问题时我们失败了,因为.net创建了相对2套cookie。标准的Session和ASPnetAuth cookie都被标记为安全和HttpOnly,正如人们所期望的那样。然后有一个HASH版本的那些相同的cookie只被标记为SECURE。
现在乍一看并记住.net 4的补丁说明,这个哈希是表单身份验证提供的机器密钥哈希。至少这是我的假设,我没有在MSDN上找到任何文档概述这些HASH版本的cookie的目的。因此,我自然不明白为什么他们只被标记为安全且没有标记为HTTPONLY,并且没有MSDN的任何知识或文档,如果我们确实存在漏洞问题,我就无法得到相应的响应。
是否有人有关于此版本Cookie的任何详细信息以及是否存在任何漏洞?