我有一个asp.net网络表单。用户进行身份验证时,它将创建一个名为.aspxauth的安全cookie。
uppon注销,我称之为这两种方法
FormsAuthentication.SignOut();
Session.Abandon()
问题是我们进行了渗透测试,如果我窃取了cookie,注销并手动重新插入cookie,我将再次被登录。因此,.aspauth不会使服务器端无效。
我已经用谷歌搜索了,但是找不到该安全漏洞的答案。