在Asp.NET中破解会话变量

有可能破解某人的会话变量并创建一个新的影子用户吗

避免这种意外的常见方法是什么

---

SSL证书安装或…？

简短回答。。。视情况而定

ASP.NET中的会话可以以多种方式存储（InProc/SQL Server/State Server）等。。。另一件需要注意的事情是如何维护客户端会话（查询字符串值、cookies等）

正如这个答案中的海报所示

---

当您对用户进行身份验证并将其名称存储在会话中时，您可以做的一件事是还存储关于他们的一些其他信息。e、 g.他们的UserAgentString、他们的IP地址，如果不同的IP或UserAgentString试图与会话交互，您可以使其无效。

任何事情都是可能的，但默认情况下都很困难

---

通常，您通过窃取会话cookie并在另一台机器上重新创建会话来劫持会话。但是，要做到这一点，网站必须容易受到跨站点脚本的攻击（回送用户输入时，您可以使用Server.HtmlEncode来缓解这种情况）。如果您最终易受攻击，ASP.NET会话cookie将标记为仅HTTP，这意味着，如果浏览器支持它，则无法从客户端脚本访问它（尽管Safari忽略此设置）。

一件事：根据会话存储IP是好的，但不是万无一失的，问题在于，会话黑客的一种常见形式是针对同一IP组（即公司或AOL）内的某人。UserAgent的类似问题（只有更高的通用性！）