Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/asp.net-mvc/15.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Asp.net mvc 在asp.net mvc应用程序中防止会话劫持_Asp.net Mvc_Owasp_Session Hijacking - Fatal编程技术网
Fatal编程技术网
  • asp.net-mvc/
  • Asp.net mvc 在asp.net mvc应用程序中防止会话劫持

Asp.net mvc 在asp.net mvc应用程序中防止会话劫持

asp.net-mvc

Asp.net mvc 在asp.net mvc应用程序中防止会话劫持,asp.net-mvc,owasp,session-hijacking,Asp.net Mvc,Owasp,Session Hijacking,如何防止asp.net mvc应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话- 以低权限用户身份登录 以管理员用户身份登录。(在单独的浏览器中-来自同一台机器) 已复制管理员用户的ASP.Net会话ID 将低优先级用户的ASP.Net会话ID替换为管理员用户的ID 通过执行上述步骤,low prev用户能够访问应用程序的管理区域 应用程序由SSL(https)托管 Cookie已设置为Secure和HttpOnly Cookie设置为在会话结束时过期和注销时过期 尽管如此,我仍然能够使用

如何防止asp.net mvc应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话-

  • 以低权限用户身份登录
  • 以管理员用户身份登录。(在单独的浏览器中-来自同一台机器)
  • 已复制管理员用户的ASP.Net会话ID
  • 将低优先级用户的ASP.Net会话ID替换为管理员用户的ID
    • 通过执行上述步骤,low prev用户能够访问应用程序的管理区域

  • 应用程序由
    SSL(https)
    托管
  • Cookie已设置为
    Secure
    HttpOnly
  • Cookie设置为在
    会话结束时过期
    注销时过期
    • 尽管如此,我仍然能够使用
    Fiddler
    重现上面解释的场景。有人能帮我解决上述问题吗

    谢谢。

    我认为,如果有人能够让饼干静止,那么她应该能够登录。缓解措施应该是对敏感资源使用短期cookie,并要求用户在执行任何敏感数据之前重新输入其凭据。例如,设置密码、授予权限等。此外,您应该使cookie很难保持不变,这似乎您已经做到了。也值得添加),并保持您的网站安全