为什么ASP.NET接受外部创建的会话标识符?
发布时间:2020-12-16 03:32:21 所属栏目:asp.Net 来源:网络整理
导读:我有一个使用标准SQL成员资格提供程序的ASP.NET 3.5网站. 在推送到生产之前,应用程序必须通过IBM Rational AppScan. 我收到错误: 严重程度:高 测试类型:应用 易受攻击的URL:http://mytestserver/myapp/login.aspx 补救任务:不接受外部创建的会话标识符
|
我有一个使用标准SQL成员资格提供程序的ASP.NET 3.5网站.
在推送到生产之前,应用程序必须通过IBM Rational AppScan. 我收到错误: 我该怎么做才能解决这个问题? 我正在使用SQL Membership Provider.这有关系吗?我也在使用标准登录控件.我关掉了“记住我”,并隐藏了. 谢谢. 解决方法
这不是一个漏洞(我真的不喜欢AppScan,因为它的误报 – 我必须解释CSRF cookie的次数不需要链接到我的小开源项目上的会话变得烦人) .
在这种情况下将发生的所有事情是第一次将任何事件存储在会话状态中,并且创建的会话标识符将在服务器上打开一个新会话,其中没有任何内容.如果您担心会话固定,那么您可以在身份验证后清除cookie. Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId",""));
但是使用表单身份验证时,身份验证详细信息不会保留在会话中,因此固定根本不是问题. 坦率地说,如果你必须通过安全扫描而没有人评估结果是不是误报,那么这是一个完全不同的问题. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- entity-framework-4 – ASP.NET MVC 3如何在Create视图上为
- asp.net省市三级联动的DropDownList+Ajax的三种框架(aspnet
- asp.net-mvc – 为什么Nant不与TeamCity合作?
- asp.net-mvc-3 – 从我的控制器调用索引视图时路径中的非法
- ASP.NET MVC3:在客户端的$Ajax请求之后,Request.IsAuthent
- asp.net-mvc-3 – 在自定义显示名称属性中检索模型名称
- asp.net – 当浏览器在HTTP Request标头中设置“referrer”
- 清除ASP.net窗体中的所有字段
- asp.net – SQL Timeout过期2秒查询
- asp.net – 便携式区域的缺点
推荐文章
站长推荐
- asp.net-mvc – ASP.NET MVC解决方案组织
- ASP.NET 或C# 中ASCII码含中文字符的编解码处理
- asp.net – Razor base type / Templated Razor使
- asp.net-mvc – 在stackoverflow.com上永不过期的
- 通过Knockout.js + ASP.NET Web API构建一个简单
- ASP.Net/C#将NameValueCollection转换为IDiction
- asp.net-mvc – 在FSharp.Core旁边找不到FSharp.
- asp.net-mvc – 如何在每个页面的第一次打击时提
- asp.net – 用于bower.json文件的Visual Studio
- asp.net-mvc – ASP.NET MVC API或WCF API
热点阅读