C# ASP.NET MVC 4应用程序中的低cookies随机性_C#_Security_Asp.net Mvc 4_Cookies_Random

C# ASP.NET MVC 4应用程序中的低cookies随机性

c# security asp.net-mvc-4 cookies random

C# ASP.NET MVC 4应用程序中的低cookies随机性,c#,security,asp.net-mvc-4,cookies,random,C#,Security,Asp.net Mvc 4,Cookies,Random,我使用C#和ASP.NET MCV4开发了一个应用程序。在IIS中，设置为使用仅使用Kerberos提供程序的Windows身份验证我使用Burp套件来测试登录页面上糟糕的cookie随机性。选择图片中的选定文本是为了测试20k请求期间变量的变化量结果表明，估计的熵为0，所以变量根本不会改变有哪些选项可以增加标题选定部分的随机性？增加cookie中存储的会话变量的随机性的一般方法是什么？作为@MartinLiversage，这根本不是cookie：它是来自的头，当服务器接收到对受保

我使用C#和ASP.NET MCV4开发了一个应用程序。在IIS中，设置为使用仅使用Kerberos提供程序的Windows身份验证

我使用Burp套件来测试登录页面上糟糕的cookie随机性。选择图片中的选定文本是为了测试20k请求期间变量的变化量

结果表明，估计的熵为0，所以变量根本不会改变

有哪些选项可以增加标题选定部分的随机性？

增加cookie中存储的会话变量的随机性的一般方法是什么？

作为@MartinLiversage，这根本不是cookie：它是来自的头，当服务器接收到对受保护对象的请求而没有正确的身份验证数据时，将使用该头

如您所见，在您的案例中，模式是

Authenticate:Negotiate

，因此无需担心某些数据被公开：

初始

WWW-Authenticate

标题在以下情况下不携带任何身份验证数据：标题是“WWW-Authenticate:negotiate”；它在运行时确实携带数据标题是“WWW-Authenticate:Nego2”

此外，此标题仅为base64字符串，可以轻松描述：

一般来说，对于cookie，尝试添加一些salt并使用实现的加密提供程序，例如RSA提供程序或其他。给定形式的问题太广泛，无法找到一个解决方案。

您突出显示的标题不是cookie，也不是随机的。它是用于NTLM身份验证的标头，此标头最初协商以验证您的Windows身份。协商完成后，整个会话都会重复使用标头，以避免对每个请求执行协商步骤。这大概就是为什么它在测试期间没有改变。