C# ASP.NET MVC 4应用程序中的低cookies随机性
我使用C#和ASP.NET MCV4开发了一个应用程序。在IIS中,设置为使用仅使用Kerberos提供程序的Windows身份验证 我使用Burp套件来测试登录页面上糟糕的cookie随机性。 选择图片中的选定文本是为了测试20k请求期间变量的变化量 结果表明,估计的熵为0,所以变量根本不会改变 有哪些选项可以增加标题选定部分的随机性?C# ASP.NET MVC 4应用程序中的低cookies随机性,c#,security,asp.net-mvc-4,cookies,random,C#,Security,Asp.net Mvc 4,Cookies,Random,我使用C#和ASP.NET MCV4开发了一个应用程序。在IIS中,设置为使用仅使用Kerberos提供程序的Windows身份验证 我使用Burp套件来测试登录页面上糟糕的cookie随机性。 选择图片中的选定文本是为了测试20k请求期间变量的变化量 结果表明,估计的熵为0,所以变量根本不会改变 有哪些选项可以增加标题选定部分的随机性? 增加cookie中存储的会话变量的随机性的一般方法是什么?作为@MartinLiversage,这根本不是cookie:它是来自的头,当服务器接收到对受保
增加cookie中存储的会话变量的随机性的一般方法是什么?作为@MartinLiversage,这根本不是cookie:它是来自的头,当服务器接收到对受保护对象的请求而没有正确的身份验证数据时,将使用该头 如您所见,在您的案例中,模式是
Authenticate:Negotiate
,因此无需担心某些数据被公开:
初始WWW-Authenticate
标题在以下情况下不携带任何身份验证数据:
标题是“WWW-Authenticate:negotiate”;它在运行时确实携带数据
标题是“WWW-Authenticate:Nego2”
此外,此标题仅为base64字符串,可以轻松描述:
一般来说,对于cookie,尝试添加一些salt并使用实现的加密提供程序,例如RSA提供程序或其他。给定形式的问题太广泛,无法找到一个解决方案。您突出显示的标题不是cookie,也不是随机的。它是用于NTLM身份验证的标头,此标头最初协商以验证您的Windows身份。协商完成后,整个会话都会重复使用标头,以避免对每个请求执行协商步骤。这大概就是为什么它在测试期间没有改变。