[英]Deleting/invalidating server side authentication cookie/ticket
我使用 FormAuthentication(.ASPXAUTH) 在 Asp.net 中有一个 web 应用程序。 我正在通过 Burp 套件捕获其中一个请求并将其发送到转发器并在转发器中操作一些参数。 当我从应用程序注销并通过 burp 的转发器发送请求时,即使我已经从应用程序注销,因为 Burp 套件已捕获所有身份验证和 session cookies,因此更改已完成。 有什么方法可以使服务器端捕获的 cookie 无效,以便 burp 套件无法使用捕获的请求进行操作? 我尝试了所有可能的方法,例如Session.Clear()/Session.Abandon(); 没有任何结果,甚至使 session 无效,但没有。
如果不执行诸如在服务器端存储随机数、将其与 cookie 一起发布并使身份验证依赖于有效的 cookie + 匹配的随机数之类的操作,我认为这是不可能的。 然后,您将在用户注销时循环使用随机数,并在他们下次登录时使用新的 cookie 发出新的随机数。
这个问题详细介绍了 Forms 身份验证的工作原理以及为什么您需要进行一些服务器端跟踪以实现您想要的:
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.