Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > .NET Framework > Forum > ช่วยหน่อยค่ะ Session identifier Not Updated Error จากการ scan Web application ของ IBM

ช่วยหน่อยค่ะ Session identifier Not Updated Error จากการ scan Web application ของ IBM

เริ่มหัวข้อใหม่

น้ำฝนค่ะ

โพสกระทู้ ( 1 )
บทความ ( 0 )

สวัสดีค่ะ
ปัญหาคือทาง vendor ได้ใช้ software ของ IBM ทำการ scan web application แล้วเจอช่องโหว่ระดับ high อยู่หนึ่งข้อซึ่งปัญหาคือ
ปัญหา
[1 of 1] Session Identifier Not Updated
Severity: High
Test Type: Application
Vulnerable URL: http://xxx/yyyy/login/Index.aspx
Remediation Tasks: Do not accept externally created session identifiers
Reasoning:One or more session identifiers were not updated in the response.
ซึ่งจากที่ได้ทดลองแก้ปัญหามาจะเกิดที่หน้า Login เข้าระบบซึ่งหนูได้ลองแก้ไขไปหลายวิธีแต่ก็ยังไม่สามารถแก้ไขได้
เท่าที่หาความรู้มาจะเกี่ยวข้องกับการเก็บค่า SessionID ที่ Cookies ที่เครื่อง client
ซึ่งการทำงานของหน้า Login ของระบบเป็นดังนี้ค่ะ
Login
Default.aspx --> index.htm event onload ใช้ java script เปิดหน้าจอใหม่เพื่อตัด Tool bar --> Login/index.aspx

Logout
Menupath.aspx?exit=1 ใช้ java script เปลี่ยนหน้าเป็น --> login/index.aspx

ช่วยหนูด้วยนะค่ะขอบคุณค่ะ

[1 of 1] Session Identifier Not Updated
Severity: High
Test Type: Application
Vulnerable URL: http://xxx/yyyy/login/Index.aspx
Remediation Tasks: Do not accept externally created session identifiers
Variant 1 of 5 [ID=123]
The following may require user attention:
POST /xxx/login/Index.aspx HTTP/1.1
Cookie: ASP.NET_SessionId=hy3wvq55fwwmrreuoloyu2ba;
AspxAutoDetectCookieSupport=1
Content-Length: 638
Accept: */*
Accept-Language: th
Referer: http://xxx/yyyy/login/Index.aspx
x-microsoftajax: Delta=true
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Cache-Control: no-cache
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET
CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0;
InfoPath.2; .NET4.0C; InfoPath.1)
Host: 192.168.15.39
Pragma: no-cache
Connection: Keep-Alive
ScriptManager1=UpdatePanel1%
7CbtLogin&__LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTA
TE=%
2FwEPDwULLTE1NjcyMjU1MzYPZBYCAgEPZBYCAgMPZBYCZg9kFggCCQ9kFgwCAw8
PFgIeCm51bWJlcm9ubHloFgQeB29uZm9jdXMFCXRmKHRoaXMpOx4Gb25ibHVyBQl0Yi
h0aGlzKTtkAgcPDxYCHwBoFgQfAQUJdGYodGhpcyk7HwIFCXRiKHRoaXMpO2QCCQ8P
FgIeB1Zpc2libGVoZGQCCw8PFgQfA2gfAGgWBB8BBQl0Zih0aGlzKTsfAgUJdGIodGhpcy
k7ZAIPDxBkZBYBZmQCEQ8PFgIfA2hkZAILDw8WAh8DaGQWBAIDDxBkZBYAZAIHDxBk
ZBYAZAIPDw8WAh8DaGRkAhMPDxYCHwNoZGRkjF0LpVqvwORFviwncLkiyBHghj4%
3D&txtUserName=admin&txtPassword=&rdLanguage=TH&__ASYNCPOST=true&btLogin=
%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%A3%E0%B8%B0%
E0%B8%9A%E0%B8%9A
HTTP/1.1 200 OK
Content-Length: 6895
Cache-Control: private
Content-Type: text/plain; charset=utf-8
3/3/2554 19:26:48 7/332
Server: Microsoft-IIS/7.5
X-AspNet-Version: 2.0.50727
X-Powered-By: ASP.NET
Date: Wed, 09 Feb 2011 05:37:14 GMT
5583|updatePanel|UpdatePanel1|
<table border="0" cellpadding="0" cellspacing="0" style="width: 100%; height:
690px;">
<tr>
<td style="width: 100%; height: 0%;" valign="top" align="left">
<table border="0" cellpadding="0" cellspacing="0" width="100%">
<tr>
<td align="center" class=" " colspan="2" style="height: 200px">
<img id="Image6" src="../Images/Login/LOGO_MM.png" style="borderwidth:
0px;" /></td>
</tr>
<tr>
<td class="login" style="height: 250px; background: url
(../Images/Login/log_bg.jpg) repeat-x left 50%;">
<img id="Image2" class="kp_logo" src="../Images/Login/LoginNB.gif"
style="height:200px;width:350px;border-width:0px;" /><br />
</td>
<td class="sign" style="height: 250px; background: url
(../Images/Login/log_bg.jpg) repeat-x left 50%;" align="left">
<span id="lblSign" style="font-weight:normal;"><b
class='sign_font'>เข้ าสู่ระบบ</b><br>เข้ าสู่ระบบ ADMS (แบบครบวงจร).<hr color='#FFFFFF'
width='350' size='1'/></span><br />
<br />
<div id="panelLogin01" style="text-align:justify;">
<table border="0" cellpadding="1" cellspacing="1" style="width:
100%">
<tr>
<td style="width: 78px;">
</td>
<td>
</td>
</tr>
<tr>
<td align="right">
<span id="Label1"> ชื่อผู้ใช้ :</span></td>
<td>
<input name="txtUserName" type="text" value="admin"
id="txtUserName" onfocus="tf(this);" onblur="tb(this);" style="color:Black;bordercolor:#
CADC92;border-width:1px;border-style:solid;height:17px;width:150px;" /></td>
</tr>
<tr>
<td align="right">
<span id="Label2"> รหั สผ่ านผู้ใช้ :</span></td>
<td>
<input name="txtPassword" type="password"
id="txtPassword" onfocus="tf(this);" onblur="tb(this);" style="color:Black;bordercolor:#
CADC92;border-width:1px;border-style:solid;height:17px;width:150px;" /></td>
3/3/2554 19:26:48 8/332
</tr>
<tr>
<td align="right">
</td>
<td>
</td>
</tr>
<tr>
<td align="right">
<span id="slblLanguage"> ภาษา :</span></td>
...
Validation In Response:
N/A
Reasoning:
One or more session identifiers were not updated in the response.

Tag : .NET, Oracle, Ajax, Web (ASP.NET), VB.NET, VS 2005 (.NET 2.x)

Date : 2011-03-16 16:19:10

By : น้ำฝนค่ะ

View : 1213

Reply : 0

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : ช่วยหน่อยค่ะ Session identifier Not Updated Error จากการ scan Web application ของ IBM

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 03

Registered : 109,037

document.write("<font color=996600>[.NET]</font>"); ช่วยหน่อยค่ะ Session identifier Not Updated Error จากการ scan Web application ของ IBM

ค้นหาข้อมูล

อัพโหลดแทรกรูปภาพ

Notice

ช่วยหน่อยค่ะ Session identifier Not Updated Error จากการ scan Web application ของ IBM