امن سازی IIS 10 – بخش یازدهم

cis-IIS 10

اطمینان از تنظیم Forms Authentication برای استفاده کوکی ها (Scored)

Description

Forms Authentication ها می‌توانند برای حفظ شناسه session بازدید کننده سایت در URI یا کوکی تنظیم شوند. توصیه می‌شود که Forms Authentication ها را برای استفاده از کوکی‌ها تنظیم کنید.

Profile Applicability

• Level 2 – IIS 10

Rationale

استفاده از کوکی‌ها برای مدیریت موقعیت Session ممکن است با جلوگیری از ASP.NET که اطلاعات را از Session به URL انتقال می‌دهد احتمال بروز Session Hi-Jacking را کاهش دهد.

انتقال شناسه اطلاعات session به URL ممکن است باعث نمایان شدن session ID ها در proxy log ها، browsing history و از طریق Document.location در دسترس client scripting باشد.

Audit

برای برنامه مورد نظر، web.config را پیدا و باز کنید و وجود خط زیر را در آن تایید کنید:

forms cookieless=”UseCookies”

یا
برای تایید از طریق AppCmd.exe دستور زیر را وارد کنید:

یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:

Remediation

1- IIS Manager را باز کنید و به سطحی بروید که در آن Forms Authentivation فعال شده
2-در features view روی Authentication دوبار کلیک کنید.
3-در صفحه Authentication، Forms Authentication را انتخاب کنید.
4-در صفحه Actions روی Edit کلیک کنید.
5-در قسمت تنظیمات Cookie از بخش Mode گزینه Use cookies را انتخاب کنید.
یا
برای پیکربندی از طریق AppCmd.exe دستور زیر را وارد کنید:

یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:

Default Value

تنظیمات پیش‌فرض برای Cookie Mode، Auto detect می‌باشد که فقط زمانی از Cookie ها استفاده می‌شود که مشخصات دستگاه Cookie ها را پشتیبانی کند.

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید