asp.net – Cookiless Session是安全隐患吗?
http://msdn.microsoft.com/en-us/library/aa479314.aspx
您有一个用户从Cyber??cafe中的计算机成功登录,Hacker H能够嗅探网络并获取用户的sessionID,是否可以使用sessionId并充当来自另一台计算机的用户? H可以输入http://文件夹/(会话ID)/CreditCardInformation.aspx来了解用户的信用卡号吗? 解决方法
我有点担心没有人列出这两次攻击:
1)Session Fixation 2)打印机: 不惜一切代价避免使用会话网址. 在整个会话中使用SSL.如果不这样做,那么你将泄露会话ID(如果你使用的是cookie,那就是这样!).这种ssl的使用明确要求A3“破解认证和会话管理”OWASP top 10 for 2010. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 在ASP.NET MVC 3 Web应用程序项目之间共享视图
- asp.net-mvc – 是否违反命令查询分离命令运行查询?
- ASP.NET C#,需要按两次按钮才能发生一些事情
- asp.net – ActiveDirectoryMembershipProvider“无法联系指
- 我如何设置我的ASP.NET项目来查找我的文件?
- asp.net-mvc – Asp.net MVC 3路由区域失败
- .net – Control.ResolveUrl与Control.ResolveClientUrl对比
- asp.net-mvc – 如何在网站上重新创建电子表格或sharepoint
- 我可以使用ASP.NET获得“WAR文件”类型部署吗?
- asp.net-mvc – 如何使用MsBuild MsDeployPublish来定位本地
- asp.net-mvc – ASP.NET MVC和Unity 1.2容器问题
- asp.net – 用于SITE的IIS配置编辑器部分中缺少h
- asp.net – 停止从域(也称为“无Cookie域”)设置
- 如何使用asp.net在服务器上生成新的html页面?
- ASP.NET获取IP的6种方法
- 单元测试 – 使用HttpRequestMessage对Azure功能
- asp.net-mvc – Thunderdome MVC-为什么在MVC中使
- Asp.net core中间件实现原理及用法解说
- 使用ASP.NET(C#)在不使用QueryString的情况下将变
- jqGrid过滤器工具栏显示单个列的搜索运算符选择器