asp.net – 会话固定 – 表单身份验证
我正在使用表单身份验证是ASP.NET.我正在为一个学校项目进行渗透测试.我正在使用LENS -ASP.NET PENETRATING TESTING TOOL.在结果中它告诉我,我的应用程序可能容易受到会话固定的影响.有谁知道如何减轻这种影响?
谢谢 解决方法
会话固定是一个人固定另一个人的会话标识符(SID)的攻击.
攻击开始于攻击者访问网站并建立有效会话,当应用程序发送包含会话ID的cookie时,攻击者已经修复或锁定了已知的良好会话.然后,攻击者会欺骗受害者使用此会话ID.此时,攻击者和受害者共享相同的会话ID.现在,任何时候存储在此固定会话中的信息用于为受害者做出决策或仅显示受害者应该看到的信息,攻击者可能会使用和查看这些信息!你可以read more here. 唯一的解决方法是ASP.NET在任何成功的身份验证后发出新的会话ID,这样一旦受害者登录,攻击者就无法访问会话.需要记住的另一点是:在用户登录之前切勿提供会话. 请记住,在ASP.net Session.Abandon()不足以完成此任务,它不会从用户的浏览器中删除会话ID cookie,因此在会话被放弃后,对同一应用程序的任何新请求都将使用相同的会话ID和新的会话状态实例! As Microsoft states here.您需要放弃会话并清除会话ID cookie: Session.Abandon(); Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId","")); 在web.config文件中更改表单身份验证cookie名称也是一种很好的做法: <authentication mode="Forms"> <forms name=".CookieName" loginUrl="LoginPage.aspx" /> </authentication> 这是Session Attacks and ASP.NET上的一篇好文章以及如何解决它. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc – automapper,你在哪里放置代码将View Model映
- asp.net-mvc – 如何使用Rhino.Mocks模拟ControllerContext
- ASP.NET MVC,GridViews,Calendars等的UI控件
- vs .net CS0006 C# 未能找到元数据文件 .dll
- asp.net – 如何从usercontrol处理页面事件? (VB.net)
- asp.net-mvc – 如何使用状态代码返回客户端错误消息
- iis – w3wp.exe占用内存
- asp.net-mvc – 为什么Razor会添加另一个值属性以及如何删除
- asp.net-mvc – 在visual studio中快速更改视图和控制器的方
- asp.net-mvc-3 – 如何在Asp.Net MVC中显示DisplayFormat属
- asp.net-mvc-3 – 用于ASP的Telerik扩展. NET MV
- ASP.NET WebAPI中的模拟和异步
- asp.net-mvc-3 – .Net Mvc 3触发器(提交按钮除外
- ASP.NET或SQL Server 2008中的并发更新处理
- asp.net-mvc-2 – 带有数组/列表的ASP.NET MVC 2
- asp.net – MVC ViewModel错误 – 没有为此对象定
- asp.net-mvc – 如何使用ASP.NET MVC对网页授权进
- 用ASP.net检测iPad
- asp.net mvc 之旅—— 第四站 学会用Reflector调
- asp.net mvc 2.0 Jquery表单提交