اطمینان از تنظیم Forms Authentication برای استفاده کوکی ها (Scored)
Description
Forms Authentication ها میتوانند برای حفظ شناسه session بازدید کننده سایت در URI یا کوکی تنظیم شوند. توصیه میشود که Forms Authentication ها را برای استفاده از کوکیها تنظیم کنید.
Profile Applicability
• Level 2 – IIS 10
Rationale
استفاده از کوکیها برای مدیریت موقعیت Session ممکن است با جلوگیری از ASP.NET که اطلاعات را از Session به URL انتقال میدهد احتمال بروز Session Hi-Jacking را کاهش دهد.
انتقال شناسه اطلاعات session به URL ممکن است باعث نمایان شدن session ID ها در proxy log ها، browsing history و از طریق Document.location در دسترس client scripting باشد.
Audit
برای برنامه مورد نظر، web.config را پیدا و باز کنید و وجود خط زیر را در آن تایید کنید:
forms cookieless=”UseCookies”
یا
برای تایید از طریق AppCmd.exe دستور زیر را وارد کنید:
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
1- IIS Manager را باز کنید و به سطحی بروید که در آن Forms Authentivation فعال شده
2-در features view روی Authentication دوبار کلیک کنید.
3-در صفحه Authentication، Forms Authentication را انتخاب کنید.
4-در صفحه Actions روی Edit کلیک کنید.
5-در قسمت تنظیمات Cookie از بخش Mode گزینه Use cookies را انتخاب کنید.
یا
برای پیکربندی از طریق AppCmd.exe دستور زیر را وارد کنید:
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
تنظیمات پیشفرض برای Cookie Mode، Auto detect میباشد که فقط زمانی از Cookie ها استفاده میشود که مشخصات دستگاه Cookie ها را پشتیبانی کند.
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
