6
我使用窗體身份驗證是ASP.NET。我正在針對學校項目進行深入測試。我正在使用LENS -ASP.NET PENETRATING TESTING TOOL。在結果中,它告訴我,我的申請可能會受到會話固定的影響。有誰知道這可以減輕對抗?會話固定 - 窗體身份驗證
由於
A
回答
11
會話固定是其中一個人注視另一個人的會話標識符(SID)的攻擊。
攻擊開始與攻擊者訪問該網站,並建立一個有效的會話,當應用程序提供包含會話ID cookie中,攻擊者已經固定,或鎖定中,已知良好的會話。然後攻擊者將誘騙受害者使用此會話ID。此時攻擊者和受害者共享相同的會話ID。現在,無論何時存儲在此固定會話中的信息都用於爲受害者做出決定或僅顯示受害者應該看到的信息,這些信息可能被攻擊者潛在使用和查看!你可以read more here。
這個唯一的解決方法將是ASP.NET到問題的任何成功驗證後一個新的會話ID,這樣,一旦被害人登錄,攻擊者必須將會議的訪問權限。還有一點要記住:中從來沒有實現會話,直到用戶登錄
記住,在ASP.net Session.Abandon()不足以完成這個任務,它不會從用戶的瀏覽器中刪除會話ID的Cookie,所以任何新在會話被放棄之後,對同一個應用程序的請求將使用相同的會話ID和新的會話狀態實例! As Microsoft states here。你需要放棄會話和清晰的會話ID的Cookie:
Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
這也是一個很好的做法,以改變窗體身份驗證cookie名稱,在web.config文件:
<authentication mode="Forms">
<forms name=".CookieName" loginUrl="LoginPage.aspx" />
</authentication>
這裏有一個很好的文章在Session Attacks and ASP.NET以及如何解決它。
相關問題
- 1. 窗體身份驗證
- 2. ASP窗體身份驗證
- 3. Uploadify - 窗體身份驗證
- 4. CherryPy會話身份驗證?
- 5. ASP.NET身份驗證會話
- 6. 網站窗體身份驗證 - > SQL Server Windows身份驗證
- 7. mvc窗體身份驗證重定向
- 8. 自定義窗體身份驗證MVC?
- 9. 基本身份驗證,回退到窗體身份驗證
- 10. ASP.NET窗體身份驗證cookie和會話的額外數據
- 11. ASP.Net窗體身份驗證cookie跨會話
- 12. 是窗體身份驗證比ASP.NET_session(會話劫持)
- 13. 會話和窗體身份驗證問題:Asp.Net MVC 3
- 14. IIS會話超時和窗體身份驗證循環
- 15. SQL Server會話數據和窗體身份驗證
- 16. 從窗體身份驗證轉換爲Windows身份驗證
- 17. ASP.NET窗體身份驗證 - 多登錄
- 18. iOS的窗體身份驗證
- 19. ASP.NET窗體身份驗證+ NTLM + LDAP
- 20. .NET窗體身份驗證和CurrentContext.User
- 21. web.config中的窗體身份驗證,cookiename
- 22. 窗體身份驗證與RETURNURL
- 23. 確定ASP.NET窗體身份驗證何時會過期
- 24. asp.net會話過期不與窗體身份驗證重定向頁面
- 25. ASP.NET窗體身份驗證漏洞
- 26. 在使用窗體身份驗證「slidingExpiration」
- 27. 窗體身份驗證ASP.Net失敗
- 28. MVC - 窗體和Windows身份驗證
- 29. 雙窗體身份驗證 - 4.0
- 30. ASP.NET窗體身份驗證Cookie在Safari