Security asp.net核心身份cookie重放攻击
我正在尝试阻止对使用默认标识的asp.net核心应用程序的有效身份验证cookie重播攻击 我尝试了一些方法,但似乎没有任何效果。一旦用户从会话注销,我可以看到我仍然可以使用旧cookie再次重播经过身份验证的请求 有没有办法防止这种情况 谢谢ASP.NET Core没有跟踪服务器端的会话。所有会话信息都包含在cookie本身中(请参阅) 如果要防止重播攻击,您需要自己跟踪会话。一种方便的方法是实现Security asp.net核心身份cookie重放攻击,security,asp.net-core,cookies,claims-based-identity,owasp,Security,Asp.net Core,Cookies,Claims Based Identity,Owasp,我正在尝试阻止对使用默认标识的asp.net核心应用程序的有效身份验证cookie重播攻击 我尝试了一些方法,但似乎没有任何效果。一旦用户从会话注销,我可以看到我仍然可以使用旧cookie再次重播经过身份验证的请求 有没有办法防止这种情况 谢谢ASP.NET Core没有跟踪服务器端的会话。所有会话信息都包含在cookie本身中(请参阅) 如果要防止重播攻击,您需要自己跟踪会话。一种方便的方法是实现ITicketStore(请参阅)。提示:如果您不想让用户体验注销,请确保您的存储在IIS重新启动
ITicketStore
(请参阅)。提示:如果您不想让用户体验注销,请确保您的存储在IIS重新启动后仍然有效
在执行此操作之前,您当然需要评估重播攻击是否对您的设置构成真正的危险。引述:
如果您确保您的站点仅通过HTTPS提供服务,并且您的cookie设置为“安全”、“相同站点”和“仅HTTP”,则攻击者将无法获取cookie值,除非他们已成功执行中间人(MitM)攻击。如果他们这么做了,你会遇到更大的问题
以及:
另一个问题是他们的计算机或浏览器是否受到恶意代码的危害。但是,如果发生这种情况,他们还有更大的问题要担心
ASP.NET Core未跟踪服务器端的会话。所有会话信息都包含在cookie本身中(请参阅)
如果要防止重播攻击,您需要自己跟踪会话。一种方便的方法是实现ITicketStore
(请参阅)。提示:如果您不想让用户体验注销,请确保您的存储在IIS重新启动后仍然有效
在执行此操作之前,您当然需要评估重播攻击是否对您的设置构成真正的危险。引述:
如果您确保您的站点仅通过HTTPS提供服务,并且您的cookie设置为“安全”、“相同站点”和“仅HTTP”,则攻击者将无法获取cookie值,除非他们已成功执行中间人(MitM)攻击。如果他们这么做了,你会遇到更大的问题
以及:
另一个问题是他们的计算机或浏览器是否受到恶意代码的危害。但是,如果发生这种情况,他们还有更大的问题要担心
你能分享你正在使用的注销方法吗?我使用signoutAsync,同样的问题,cookie被重放。你能分享你正在使用的注销方法吗?我使用signoutAsync,同样的问题,cookie被重放。