Атака связанных доменных файлов cookie (дополнительная информация)позволяет компьютерам в том же домене DNS добавлять дополнительные файлы cookie, которые также будут отправляться на другие компьютеры в том же домене.
Это может вызвать проблемы с аутентификацией или, в худшем случае, стать частью запутанной атаки заместителя.
Вопрос
Как защитить ASP.NET или ASP.NET MVC от этого типа атак?
Один из возможных сценариев атаки
Это упрощенный пример, но идея может быть перенесена в другой стиль атак, я просто выбираю сценарий, который не кажется «слишком плохим».
Один из вариантов того, как это может стать «плохим», состоит в том, что это был шаг 1 двухэтапной атаки. Допустим, пользователь загрузил плохой файл, который был доступен только в его аккаунте; затем другой пользователь невольно загружает этот файл, запуская любой исполняемый код, который там есть.
Существует множество других возможных сценариев... вместо того, чтобы перечислять их все здесь, я пытаюсь выяснить, как я могу защитить свой сервер от такого типа атак.