// .NET / ASP.NET 鉴权机制审计。用于用户要求检查登录校验、权限校验、[Authorize]/[AllowAnonymous]/Role/Policy、未授权访问、越权/IDOR、基于路由映射分析接口鉴权状态,或对只有 bin/dll/web.config/aspx 的闭源项目先反编译再审计鉴权。适用于 ASP.NET Core、MVC5/Web API2、Web Forms、Minimal API、Handler/ASMX;不用于单纯路由提取、通用漏洞审计、鉴权原理解释、登录功能开发、前端菜单权限或 NuGet CVE 检查。
| name | net-auth-audit |
| description | .NET / ASP.NET 鉴权机制审计。用于用户要求检查登录校验、权限校验、[Authorize]/[AllowAnonymous]/Role/Policy、未授权访问、越权/IDOR、基于路由映射分析接口鉴权状态,或对只有 bin/dll/web.config/aspx 的闭源项目先反编译再审计鉴权。适用于 ASP.NET Core、MVC5/Web API2、Web Forms、Minimal API、Handler/ASMX;不用于单纯路由提取、通用漏洞审计、鉴权原理解释、登录功能开发、前端菜单权限或 NuGet CVE 检查。 |
从 .NET / ASP.NET 项目源码、反编译产物或 net-route-mapper 输出中梳理鉴权机制,覆盖所有路由、页面和接口,识别鉴权绕过、未授权访问、权限缺失和资源级越权问题,并按固定目录结构生成 Markdown 审计产物。
适用:
bin/*.dll、.aspx、web.config 时,先复用或生成共享反编译产物再审计不适用:
net-route-mapper[Authorize] 判定未授权,必须检查全局 Filter、FallbackPolicy、DefaultPolicy、中间件、基类、路由组和 web.config。net-route-mapper 输出、或混合输入。net-route-mapper 输出,优先作为路由基线;否则自行枚举路由和页面,不得跳过。references/AUTH_PATTERNS.md,按项目类型定位鉴权入口和搜索词。若源码缺失,或 .aspx / 配置指向的后端类只存在于 dll:
{project}_audit/decompiled/manifest.json。status=success 且 input_dir 与当前目标匹配:直接复用 {project}_audit/decompiled/。status=partial:可复用成功程序集,但必须在 README 和主报告中标注失败项及审计不完整范围。../net-route-mapper/references/DECOMPILE_STRATEGY.md 执行共享二进制预处理。{project}_audit/deobfuscated/manifest.json,README 必须记录其状态;反编译应优先基于 deobfuscated/bin_clean/。不要在本 Skill 中维护另一套反编译规范;共享预处理产物是项目级审计证据,供多个 net audit skills 复用。
必须输出以下机制结论:
web.config <authorization>、location path[AllowAnonymous]、AllowAnonymous()、permitAll 等价逻辑、登录页、静态资源、健康检查、公开 API对每个路由、页面或接口给出一行映射:
状态不确定时必须说明缺失证据,不得省略该接口。
只有满足证据链时才写入主报告漏洞详情:
IDOR / 水平越权必须读取 references/IDOR_CHECKLIST.md。
漏洞编号和评分必须读取 ../net-shared/SEVERITY_RATING.md,沿用 {C/H/M/L}-AUTH-{序号},例如 H-AUTH-001。每个漏洞必须给出 R/I/C、Score/CVSS 和判定理由。
审计完成必须按 net-route-mapper 的风格生成固定目录和固定文件名,不使用时间戳文件名:
{project}_audit/auth_audit/
├── README.md # 主索引:范围、机制概览、风险统计、产物链接
├── auth_mapping.md # 全部路由/页面/接口的鉴权状态表
├── auth_findings.md # 漏洞详情、证据链、PoC、修复建议
└── modules/
├── {ModuleA}.md # 每模块详细鉴权证据和备注
├── {ModuleB}.md
└── ...
模板:
references/OUTPUT_TEMPLATE_README.md → 输出为 README.mdreferences/OUTPUT_TEMPLATE_MAPPING.md → 输出为 auth_mapping.mdreferences/OUTPUT_TEMPLATE_MAIN.md → 输出为 auth_findings.md职责划分:
README.md 记录范围、输入、工具、共享二进制 manifest、机制概览、风险统计和产物链接;不要放完整漏洞详情。auth_mapping.md 必须列出所有路由/页面/接口;不要放漏洞详细分析。auth_findings.md 只放漏洞详情、证据链、PoC、修复建议;不要放完整路由清单。modules/ 用于大型项目按模块拆分鉴权证据;小项目可不生成模块文件,但目录结构应保持一致。web.config 配置应用鉴权,重点看 Program.cs / Startup.cs / appsettings.json / 中间件顺序。UseAuthentication() 必须在 UseAuthorization() 前;顺序异常可能导致鉴权失效或行为偏差。FallbackPolicy / DefaultPolicy 可能让无 [Authorize] 的接口默认受保护。GlobalFilters.Filters.Add(new AuthorizeAttribute()) 全局鉴权。OnInit、Page_Load、母版页或 web.config location path 中。OnActionExecuting / IAsyncAuthorizationFilter / 自定义 Attribute 可能承担真实权限校验。[AllowAnonymous] 不必然是漏洞;必须结合登录页、公开资源、健康检查、业务公开接口判断。.ashx、.asmx、Razor Pages、Minimal API、MapGroup 路由容易漏。userId、tenantId、deptId、companyId、ownerId 等资源标识,都要追踪归属校验。{project}_audit/auth_audit/ 固定目录生成 README.md、auth_mapping.md、auth_findings.md 并互相链接触发、不触发、边界与失败案例维护在 references/EVAL_CASES.md。修改 description、工作流或输出模板后,必须回看这些样例,确保触发边界没有变宽或变窄。