ASP.NET會話修復(ASP.NET_sessionid)
[英]Asp.net session fixation (ASP.NET_sessionid)
問題描述
系統默認生成Asp.net_SessionId。 每當將此值從一個瀏覽器復制到另一用戶時,都會自動訪問登錄憑據中的頁面。
案例:首先,我在一個瀏覽器(chrome)中使用自己的憑據登錄。 現在,我以專用模式(同樣是chrome)打開相同的瀏覽器。 現在,我將登錄的瀏覽器會話值復制到私有模式,並嘗試訪問儀表板,配置文件,設置等頁面。因此,這里只需復制會話值,便可以訪問所有需要登錄的頁面。
如何預防呢? 請給我一些建議。
我可以在跨瀏覽器中防止這種情況,但在同一瀏覽器中卻無法阻止。
我嘗試過的
我實現了此處描述的技術,但在我的情況下不起作用。 是的,它適用於兩種不同的瀏覽器,但不適用於單一瀏覽器。
http://www.codeproject.com/Articles/859579/Hack-proof-your-asp-net-applications-from-Session
請幫我解決這個問題。
1 個解決方案
解決方案1
0 2016-06-30 17:26:36
每當將此值從一個瀏覽器復制到另一用戶時,都會自動訪問登錄憑據中的頁面。
這取決於您如何驗證用戶。 如果您僅使用會話狀態來跟蹤用戶身份驗證(如經典的ASP天),那是事實。
如今,我們通過SSL使用ASP.Net身份或表單身份驗證(成員身份提供程序) ,對令牌進行加密,並隨處注銷所有功能。 因此,要破解SSL中的身份驗證Cookie並不容易(我並不是說不可能)。
在ASP.Net MVC中,我們不需要像在ASP.Net Web Form和Classic ASP中那樣使用會話狀態。 此外,直接使用會話狀態在ASP.Net MVC中成為一種不良做法。
最重要的是,如果您通過ASP使用ASP.Net Identity或Form Authentication,我什至不必擔心。 如果您還沒有使用過它們,那么您肯定要考慮使用它。
如果定義了Session_Start,ASP.NET如何知道創建ASP.NET_SessionId cookie?
[英]How does ASP.NET know to create the ASP.NET_SessionId cookie if Session_Start is defined?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
從ASP.NET應用程序中刪除ASP.NET_SessionId
如果定義了Session_Start,ASP.NET如何知道創建ASP.NET_SessionId cookie?
ASP.NET_SessionId超時時未生成其他會話
使ASP.NET_SessionId cookie不是httpOnly
僅在生產中缺少ASP.NET_SessionID
配置 ASP.NET_SessionId cookie 過期
ASP.NET_SessionId cookie行為說明
如何保護 ASP.NET_SessionId cookie?
ASP.NET_SessionId cookie未定義
asp.net sessionId恢復會話對象
相關標簽