paU*_*U1i 5 .net asp.net cookies
我不是开发人员,而是渗透测试人员.在基于.NET框架的网站上进行测试时,我报告了"不正确的会话管理"问题.用户使用.ASPXAUTH cookie进行了身份验证.当用户注销时,会在客户端浏览器中将.ASPXAUTH cookie值设置为空白.但是如果您使用相同的.ASPXAUTH,请手动将其放入浏览器并刷新页面用户直接进行身份验证.
我建议开发人员,一旦用户注销,.ASPXAUTH cookie就会在服务器端被销毁.但他们建议cookie和会话相关的东西完全由框架管理,并且它无法在服务器端被杀死.
那么有没有办法在服务器端杀死.ASPXAUTH?
先感谢您
那么有没有办法在服务器端杀死.ASPXAUTH?
不,没有办法做到这一点,因为ASP.NET FormsAuthentication与服务器上的任何状态都无关.这是它的弱点之一.您可以做的是将此cookie与将保留在服务器上的会话状态相关联.这种方式为了进行身份验证,使用有效的表单身份验证cookie是不够的,但除此之外,它应该与服务器上的某些状态相关,可以在任何时候失效(例如,在注销时).在这种情况下,在用户退出网站后,他将无法再使用.ASPXAUTHcookie,假设他在验证时已经捕获了它的价值.
| 归档时间: |
|
| 查看次数: |
629 次 |
| 最近记录: |