那些遇到过的问题

使aspx身份验证cookie无效

Yan*_*ard 6 c# asp.net security

我有一个asp.net网络表单。用户进行身份验证时,它将创建一个名为.aspxauth的安全cookie。

uppon注销,我称之为这两种方法

FormsAuthentication.SignOut(); 
Session.Abandon()
Run Code Online (Sandbox Code Playgroud)

问题是我们进行了渗透测试,如果我窃取了cookie,注销并手动重新插入cookie,我将再次被登录。因此,.aspauth不会使服务器端无效。

我已经用谷歌搜索了,但是找不到该安全漏洞的答案。

Jag*_*SWE 3

阅读这篇关于会话固定以及如何一劳永逸地摆脱它的文章:

http://www.dotnetfunda.com/articles/show/1395/how-to-avoid-the-session-fixation-vulnerability-in-aspnet

  • 这不是一个有效的解决方案。这里的主要问题是,用户注销后,会话 ID 在服务器端继续处于活动状态。如果攻击者有权访问 cookie(如@Yannick Richard 上面报道的那样),添加另一个具有单独“身份验证令牌”的 cookie 并不会使任何东西变得更安全。然后攻击者就可以窃取这两个 cookie,然后我们就回到第一个方格。 (2认同)

归档时间:

查看次数:

1545 次

最近记录:

6 年,8 月 前
ASP.NET中的会话修复 16
更多相关链接
相关归档
@ Html.HiddenFor不适用于ASP.NET MVC中的列表 93
如何使用Moq框架模拟ModelState.IsValid? 83
ASP.NET MVC自定义错误 20
超时Web Api请求? 15
在jQuery ajax请求中保护和/或加密(隐藏)POST变量 13
应用程序如何安全地存储Google Cloud Datoreore中的机密信息? 13
较少:无法识别的输入 10
保护 oauth 承载令牌免受 javascript 应用程序中的 XSS、CSRF 等攻击 5
Javascript安全问题 2
Sql注入漏洞 1
难疑归档
如何使用JavaScript复制到剪贴板? 3131
显式关键字是什么意思? 2753
如何在JavaScript中将数字格式化为美元货币字符串? 1711
接口和抽象类之间有什么区别? 1705
使用其名称(字符串)调用模块的函数 1580
如何调试Node.js应用程序? 1531
什么是C++ 11中的lambda表达式? 1408
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
为什么在重写Equals方法时重写GetHashCode很重要? 1371
使用*args和**kwargs 1367