1. дома
  2. Вопрос и ответ
  3. Сообщение: обнаружена атака CSRF

Сообщение: обнаружена атака CSRF

2017-02-16 2 views
0

Я пытаюсь решить эту проблему.Сообщение: обнаружена атака CSRF

У меня есть два cdn url abc.com, указывающие на elb1 и def.com, указывающие на elb2.

И ELB (elb1 и elb2), указывающие на тех же случаях EC2, которая является сбалансированной нагрузкой (EC2-А и EC2-B)

Я могу войти на сервер, который можно перемещаться из abc.com , но я не может войти на сервер, который переводится с def.com

def.com логин дает следующую ошибку.

Поскольку обе точки dns указывают на тот же EC2. Файлы Web.config одинаковы.

Message: CSRF attack detected. 

Exception type: CMS.Protection.Web.UI.CsrfException 
Stack trace: 
at CMS.Protection.Web.UI.CsrfProtection.ThrowCsrfException(Exception innerException) 
at CMS.Protection.Web.UI.CsrfProtection.OnPostMapRequestHandlerExecute(Object sender, EventArgs eventArgs) 
at CMS.Base.AbstractHandler.CallEventHandler[TArgs](EventHandler`1 h, TArgs e) 
at CMS.Base.AbstractHandler.Raise[TArgs](String partName, List`1 list, TArgs e, Boolean important) 
at CMS.Base.SimpleHandler`2.RaiseExecute(TArgs e) 
at CMS.Base.SimpleHandler`2.RaiseExecute(TArgs e) 
at CMS.Base.SimpleHandler`2.StartEvent(TArgs e) 
at System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() 
at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) 

Message: Error occurred during a cryptographic operation. 

Exception type: System.Security.Cryptography.CryptographicException 
Stack trace: 
at System.Web.Security.Cryptography.HomogenizingCryptoServiceWrapper.HomogenizeErrors(Func`2 func, Byte[] input) 
at CMS.Protection.Web.UI.CsrfProtection.OnPostMapRequestHandlerExecute(Object sender, EventArgs eventArgs)

источник

2017-02-16 SmartestVEGA

+0

Похоже, вы отправляете запросы с внешнего сайта –

+0

Похоже, что машиныKeys не совпадают. Посмотрите на это: https://docs.kentico.com/k10/configuring-kentico/optimizing-website-performance/setting-up-web-farms/configuring-web-farm-servers#Configuringwebfarmservers-ConfiguringthemachineKeyelementinweb.config Может ли это укажите, какую версию HF вы используете? – bayotop

+0

его kentico 10 последних – SmartestVEGA

ответ

-1

Neshi является правильным, и вы должны убедиться, что запрос пост на странице исходит из того же источника, в противном случае вы в значительной степени выполнить определение межсайтового скриптинга.

Общая настройка довольно сложная, однако вам все равно необходимо обеспечить, чтобы токен безопасности в cookie CSRF был таким же, как токен, сгенерированный CMSPage при загрузке, и я не уверен, что эти переадресации и переносы передачи также могут сделать это чтобы держать сессию достаточно липкой.

Общее описание по адресу: https://docs.kentico.com/k10/securing-websites/developing-secure-websites/cross-site-request-forgery-csrf-xsrf

источник

2017-02-16 09:12:21

0

его фиксирована, я сгенерированного машинного ключа, и поставить тот же ключ машины в обоих случаях EC2. поэтому устраняются проблемы

источник

2017-02-16 11:17:41 SmartestVEGA

2

Защита CSRF в Кентико проверяет маркеры с использованием метода MachineKey.Unprotect(), поэтому необходимо, чтобы все серверы использовали одни и те же ключи шифрования.

Для получения более подробной информации о том, как добиться этого, см. documentation.

источник

2017-02-16 11:22:57 bayotop

Смежные вопросы

 Смежные вопросы