4
我的理解是,ASP會生成一個cookie來驗證會話。但是,如果該cookie通過非https頻道來回發送,我是不是可以通過欺騙cookie來欺騙它? Cookie可以鎖定到特定的IP或其他機器指紋嗎?ASP.net安全cookies的安全程度如何?
A
回答
4
ASP.NET中的會話未經過身份驗證 - 身份驗證完全獨立。通過獲取會話cookie並重新創建它,是的,你可以劫持會話,並且如果你解除身份驗證cookie,那麼你可以作爲用戶進行身份驗證(這就是爲什麼,默認情況下,身份驗證cookie過期) - 請參閱http://msdn.microsoft.com/en-us/library/ms178581.aspx
安全筆記很清楚;
SessionID值以明文形式發送,無論是cookie還是 部分URL。惡意用戶可以通過獲取SessionID值並將其包含在 對服務器的請求中來訪問另一個用戶的會話 。如果您要將敏感信息存儲在會話狀態 會話狀態中,建議您使用SSL來加密瀏覽器和包含 SessionID值的服務器之間的任何 通信。
1
在我的最後一份工作,我們努力解決此通過跟蹤用戶的會話ID(我們添加一個GUID的URL作爲查詢字符串,還有其他的方式)在數據庫中,我們也將存儲的IP地址,該地址提出要求。對於所有後續請求(具有會話ID的任何內容,要求獲取任何敏感信息),我們只需檢查會話ID和IP,以使請求與我們驗證和設置會話時存儲的值相對應。 Request.UserHostAddress有點難以欺騙。有一些開銷,但它比Cookie更安全。
+0
只是好奇 - 如果檢查失敗,你有沒有提醒機制?如果是,它是否曾經在生產中發生過? – asawyer
+0
我們所有的應用程序都有某種日誌記錄。我不記得它發生了,但是,在我們做出這種改變之前,它在生產中猖獗。我們的問題不是黑客,它是網址分享者。公司員工會將鏈接發送給代理商,而不會意識到該鏈接及其會話標識可以訪問其中的數據。他們會選擇一個代理作爲示例,並將該代理的數據展示給與他們共享鏈接的每個人。這種機制將這種做法冷落。他們只會被拒絕訪問,如果我沒有記錯,重定向到登錄頁面。 – KennyZ
+0
非常有趣的謝謝你。我實現了一個非常類似於入侵斷路器的東西,並且在4年內從未一次性出行過。 – asawyer
相關問題
- 1. 最安全的cookies?
- 2. cookies的安全性
- 3. CakePHP cookies不安全,不安全
- 4. PHP cookies和會員安全
- 5. mod_rewrite的安全程度如何.htaccess
- 6. ASP.NET安全
- 7. asp.net安全cookie
- 8. Asp.net和安全
- 9. ASP.Net安全
- 10. asp.net viewstate安全
- 11. 安全Cookie ASP.NET
- 12. ASP.NET是System.Web.UI.Page線程安全
- 13. asp.net中的安全
- 14. 如何使用安全通道發送jsessionid-cookies與安全標記
- 15. java線程安全:線程安全嗎?
- 16. Android apk安全性如何安全
- 17. ASP.Net MVC安全AuthorizeAttribute
- 18. asp.net會話安全
- 19. ASP.NET webservice API安全
- 20. ASP.NET webform cookie安全
- 21. Asp.net應用安全
- 22. ASP.NET Core安全Api
- 23. ASP.NET安全異常
- 24. 頁ID asp.net安全
- 25. ASP.Net目錄安全
- 26. ASP.Net 1.1 Viewstate安全
- 27. Asp.NET MVC和安全
- 28. 使ASP.NET cookie安全
- 29. 如何使線程安全,而不是線程安全
- 30. QApplication :: mouseButtons的線程安全和延遲安全性如何?
如果cookie與其他參數一起鎖定,那麼所有參數一起必須前後一致。所以如果有人可以讀取cookie,可以讀取其餘參數。 – Aristos