我想知道如何防止ASP.NET中的会话固定攻击(见
http://en.wikipedia.org/wiki/Session_fixation)
解决方法
一直在做更多的挖掘.在任何Web应用程序中防止会话固定攻击的最佳方法是在用户登录时发出新的会话标识符.
在ASP.NET Session.Abandon()不足以完成此任务. Microsoft在http://support.microsoft.com/kb/899918中声明:“”当您放弃会话时,会话ID Cookie不会从用户的浏览器中删除.因此,一旦会话被放弃,对同一应用程序的任何新请求将使用相同的会话ID,但将具有新的会话状态实例.“”
https://connect.microsoft.com/feedback/viewfeedback.aspx?FeedbackID=143361&wa=wsignin1.0&siteid=210#details已经要求修正错误
有一个解决方法来确保新的会话ID“在http://support.microsoft.com/kb/899918生成详细信息涉及到调用Session.Abandon然后清除会话id cookie.
如果ASP.NET不依赖开发人员这样做会更好.
原文地址:https://www.jb51.cc/aspnet/249021.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
