Asp.net mvc 在asp.net mvc应用程序中防止会话劫持
如何防止asp.net mvc应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话-Asp.net mvc 在asp.net mvc应用程序中防止会话劫持,asp.net-mvc,owasp,session-hijacking,Asp.net Mvc,Owasp,Session Hijacking,如何防止asp.net mvc应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话- 以低权限用户身份登录 以管理员用户身份登录。(在单独的浏览器中-来自同一台机器) 已复制管理员用户的ASP.Net会话ID 将低优先级用户的ASP.Net会话ID替换为管理员用户的ID 通过执行上述步骤,low prev用户能够访问应用程序的管理区域 应用程序由SSL(https)托管 Cookie已设置为Secure和HttpOnly Cookie设置为在会话结束时过期和注销时过期 尽管如此,我仍然能够使用
SSL(https)
托管Secure
和HttpOnly
会话结束时过期
和注销时过期
Fiddler
重现上面解释的场景。有人能帮我解决上述问题吗
谢谢。我认为,如果有人能够让饼干静止,那么她应该能够登录。缓解措施应该是对敏感资源使用短期cookie,并要求用户在执行任何敏感数据之前重新输入其凭据。例如,设置密码、授予权限等。此外,您应该使cookie很难保持不变,这似乎您已经做到了。也值得添加),并保持您的网站安全