Tuve un caso bastante interesante de piratería en mi sitio web ASP.Net MVC. Para este sitio web, implementé un sistema de autenticación bastante sencillo para mi área de administración: una cookie cifrada que tenía una firma de identificación para el miembro. Cada vez que el administrador visita el sitio web, la cookie se descifra y se verifica la firma. Si coinciden, no tendría que iniciar sesión.¡Mi sitio web fue pirateado usando Statcounter! ¿Statcounter mantiene un registro de cookies?
Hace un par de días, un visitante de mi sitio me dijo que había podido iniciar sesión en mi sitio web simplemente haciendo clic en un enlace de referencia en su consola Statcounter que apuntaba a mi área de administración (había visitado su sitio desde un enlace dentro de mi vista de administrador).
¡Acaba de hacer clic en un enlace en statcounter y ha iniciado sesión como administrador!
¡La única forma en que esto podría haber sucedido es si Statcounter de alguna manera grabó mis cookies y las usó cuando hizo clic en el enlace que apuntaba a mi administrador!
¿Es lógico o comprensible?
No entiendo lo que está pasando. ¿Tiene alguna sugerencia sobre cómo puedo proteger mi sitio web contra este tipo de cosas?
Actualización: Creé un sistema de listas blancas de direcciones IP para proteger a mi administrador del acceso no autorizado. Básicamente, el servidor comparará ahora la dirección IP del visitante con una lista blanca y solo permitirá el acceso si la dirección IP está en esa lista. También admite comodines, por lo que estará bien incluso para direcciones IP dinámicas.
Aunque no es infalible, pero requiere muchas muescas.
No estoy usando una variable estática o global para mantener los datos de acceso. Se realiza a través del diccionario ViewData, por lo que no creo que el problema que usted ha descrito pueda haber ocurrido. ¿Tienes alguna otra idea? –