개인 정보, 시스템 정보 등의 중요한 데이터 로깅을 허용하도록 ASP.NET W3Clogger.loggingFields를 구성할 수 있습니다.
이 데이터에는 HTTP 요청 및 HTTP 응답과 관련된 중요한 정보(예: 클라이언트/서버 IP, 서버 포트, 헤더 크키, 서버에 액세스한 인증된 사용자 이름)가 포함될 수 있습니다.
데이터 보안이 위반되면 공격자가 이 정보를 사용하여 다음과 같은 작업을 수행할 수 있습니다.
- 중요한 정보 도용 또는 권한 수준이 더 높은 사용자 가장
- 내부 서버 검색 및 제한된 리소스 무단 액세스 권한 확보
- 탐지된 서버를 대상으로 보고된 알려진 취약점 악용에 주력하는 공격 진행
예제 1: 다음 코드는 확인이 비활성화된 컨트롤러의 작업 메서드를 보여줍니다.

  builder.Services.AddW3CLogging(logging =>
    logging.LoggingFields = W3CLoggingFields.All;
    ... )

Example 1All 플래그를 사용해 ClientIpAddress, ServerName, ServerIpAddress, ServerPort, UserName, Cookie 등의 중요한 데이터를 비롯하여 Http 요청에 포함될 수 있는 모든 필드를 로깅하도록 W3Clogging을 구성하는 방법을 보여줍니다.

ASP .NET 응용 프로그램은 프레임워크 기본 페이지 대신 사용자 지정 오류 페이지를 사용하도록 구성되어야 합니다. 기본 오류 페이지는 발생한 오류에 대한 자세한 정보를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <customErrors> 태그의 mode 속성은 사용자 지정 오류 페이지와 기본 오류 페이지 중 어느 것을 사용할지 결정합니다.

공격자는 기본 오류 페이지에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

기본적으로 ASP.NET은 ViewState, FormsAuth cookies 및 ScriptResource.axd URL과 같은 페이로드를 해독하기 전에 암호화 서명을 내부에서 검증하고 추가 처리를 위해 이러한 값을 응용 프로그램에 전달합니다. 그러나 aspnet:UseLegacyEncryption 설정을 사용하여 페이로드 해독 전에 암호화 서명 확인을 비활성화하도록 이 기능을 수정할 수 있습니다. 그러면 악성 클라이언트에서 암호화된 데이터를 해독, 위조 또는 변조할 수 있습니다.

예제 1: 다음 예에서, aspnet:UseLegacyEncryption이 true로 설정됩니다.

...
  <appSettings>
    <add key="aspnet:UseLegacyEncryption" value="true" />
  </appSettings>
...

ASP.NET 응용 프로그램은 ASP.NET 응용 프로그램의 web.config 파일에 있는 <credentials> 요소에 사용자 이름과 암호 쌍을 저장할 수 있습니다. ASP.NET 응용 프로그램은 일반 텍스트, MD5 및 SHA1 암호 형식을 지원합니다.

일반 텍스트로 저장된 암호 또는 약한 암호화 알고리즘을 사용하는 암호는 응용 프로그램의 구성 파일에 액세스할 수 있는 모든 사람이 액세스할 수 있습니다. 여기에는 응용 프로그램이 호스팅되는 시스템 또는 응용 프로그램이 있는 소스 코드 리포지토리가 포함될 수 있습니다.

예제 1: 다음 web.config 항목은 암호를 일반 텍스트로 잘못 저장합니다.

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET은 configuration/system.web/authentication/forms/credentials 요소의 passwordFormat 속성으로 지정되는 3가지 형식으로 저장된 자격 증명 암호를 지원합니다. 이 속성의 가능한 값은 다음과 같습니다.

Clear - 암호가 일반 텍스트로 저장되었음을 나타냄(최소 보안)
MD5 - 암호의 MD5 해시가 저장되었음을 나타냄
SHA1- 암호의 SHA1 해시가 저장되었음을 나타냅니다(최고 보안).

MD5 해시는 일반 텍스트보다 안전하지만 연구원들은 MD5 해시 알고리즘에 대한 무차별 대입 공격을 발견했습니다. 이런 경우더라도 SHA1 해시는 그러한 공격에 대해 적절한 보호를 제공합니다.

FormsAuthentication.RedirectFromLoginPage() 메서드는 지정된 시간 동안 사용자를 인증 상태로 유지하는 authentication 티켓을 발행합니다. 이 메서드가 두 번째 인수 false와 함께 호출되면 이 메서드는 web.config에 지정된 시간 동안 유효한 임시 authentication 티켓을 발행합니다. 두 번째 인수 true와 함께 호출되면 이 메서드는 persistent authentication 티켓을 발행합니다. .NET 2.0에서 persistent authentication 티켓의 수명은 web.config의 값을 따르지만 .NET 1.1에서 persistent authentication 티켓은 지나치게 긴 수명 값(예: 50년)을 가집니다.

persistent authentication 티켓을 장시간 동안 유효하도록 허용하면 사용자 및 시스템에 다음과 같은 취약점이 나타납니다.

로그아웃에 실패한 사용자가 세션 하이재킹 공격에 노출되는 기간이 연장됩니다.

공격자가 추측에 사용할 수 있는 유효한 세션 식별자의 평균 수가 증가합니다.

공격자가 사용자 세션의 하이재킹에 성공하면 익스플로이트 기간이 늘어납니다.

확인되지 않은 입력은 ASP.NET 응용 프로그램 취약점의 주된 원인입니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control, SQL Injection 등 수많은 취약점을 야기할 수 있습니다.

이러한 공격을 방지하려면 ASP.NET 검증 프레임워크를 사용하여 응용 프로그램이 처리하기 전에 모든 프로그램 입력을 확인합니다.

검증 프레임워크의 사용 예에는 다음을 확인하는 것이 포함됩니다.

- 전화 번호 필드에는 전화 번호로서 유효한 문자만 사용합니다.

- 부울 값은 "T" 또는 "F"뿐입니다.

- 자유 형식 문자열은 적절한 길이와 구성을 유지합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.