Asp.Net表单身份验证重播攻击
我们遇到了这样一个场景:一个用户注销,并重放上一个良好的会话cookie(包括滑动时间窗口),我们的代码作为用户直接跳转到请求的页面。我们没有在服务器中维护会话状态。此Asp.Net表单验证 我认为唯一的解决方案是向服务器添加列以跟踪用户日志状态。不是很难,但需要代码、数据库和部署来完成 这是最好的处理方法吗?因为我们无论如何都要破解代码,所以我们可以将客户端请求ip和其他东西添加到cookie中。但是当前的欺骗是重用客户端机器和会话 有什么想法吗 提前谢谢 比尔 检查不活动->注销的Javascript代码Asp.Net表单身份验证重播攻击,asp.net,authentication,webforms,replay,Asp.net,Authentication,Webforms,Replay,我们遇到了这样一个场景:一个用户注销,并重放上一个良好的会话cookie(包括滑动时间窗口),我们的代码作为用户直接跳转到请求的页面。我们没有在服务器中维护会话状态。此Asp.Net表单验证 我认为唯一的解决方案是向服务器添加列以跟踪用户日志状态。不是很难,但需要代码、数据库和部署来完成 这是最好的处理方法吗?因为我们无论如何都要破解代码,所以我们可以将客户端请求ip和其他东西添加到cookie中。但是当前的欺骗是重用客户端机器和会话 有什么想法吗 提前谢谢 比尔 检查不活动->注销的Javas
$j(文档).ready(函数(){
weidson当用户注销时,它只是在当前页面上进行回发,还是转到注销页面?通过重播攻击,您知道来自单独计算机的攻击者,或者您说的是同一台计算机的攻击者,能够做到这一点?有两种方法。客户端超时导致ajax调用,从而使会话无效。单击注销时进行常规回发此外,攻击来自同一台机器(可能是IP/MAC欺骗)我们有登录的用户做注销并把机器留给另一个用户。你可能想考虑使用JavaScript重定向到注销页面,而不是使用Ajax,通过<代码>窗口。位置=“LogOut.ASPX”;< /C> >我用检查非活动客户端的JavaScript代码编辑原始问题。
/******************************************************************
Auto-logout after the user's session times out
******************************************************************/
var timeOut = (_TIMEOUT - 5) * 60;
var setTimeout = function () {
$j(".session-timeout").stopTime().oneTime(timeOut + "s", function () {
$j(this).show();
$j(this).oneTime("300s", function () {
window.location = $j(this).find("a.logout").attr("href");
});
});
};
$j(".session-timeout a.refresh-session").click(function () {
NextGen.CHS.UtilitiesWebService.RefreshSession(
function () {
$j(".session-timeout").fadeOut();
setTimeout();
},
function () {
}
);
});
setTimeout();
});