Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/asp.net-core/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security asp.net核心身份cookie重放攻击_Security_Asp.net Core_Cookies_Claims Based Identity_Owasp - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security asp.net核心身份cookie重放攻击

Security asp.net核心身份cookie重放攻击

security asp.net-core cookies

Security asp.net核心身份cookie重放攻击,security,asp.net-core,cookies,claims-based-identity,owasp,Security,Asp.net Core,Cookies,Claims Based Identity,Owasp,我正在尝试阻止对使用默认标识的asp.net核心应用程序的有效身份验证cookie重播攻击 我尝试了一些方法,但似乎没有任何效果。一旦用户从会话注销,我可以看到我仍然可以使用旧cookie再次重播经过身份验证的请求 有没有办法防止这种情况 谢谢ASP.NET Core没有跟踪服务器端的会话。所有会话信息都包含在cookie本身中(请参阅) 如果要防止重播攻击,您需要自己跟踪会话。一种方便的方法是实现ITicketStore(请参阅)。提示:如果您不想让用户体验注销,请确保您的存储在IIS重新启动

我正在尝试阻止对使用默认标识的asp.net核心应用程序的有效身份验证cookie重播攻击

我尝试了一些方法,但似乎没有任何效果。一旦用户从会话注销,我可以看到我仍然可以使用旧cookie再次重播经过身份验证的请求

有没有办法防止这种情况

谢谢

ASP.NET Core没有跟踪服务器端的会话。所有会话信息都包含在cookie本身中(请参阅)

如果要防止重播攻击,您需要自己跟踪会话。一种方便的方法是实现
ITicketStore
(请参阅)。提示:如果您不想让用户体验注销,请确保您的存储在IIS重新启动后仍然有效

在执行此操作之前,您当然需要评估重播攻击是否对您的设置构成真正的危险。引述:

如果您确保您的站点仅通过HTTPS提供服务,并且您的cookie设置为“安全”、“相同站点”和“仅HTTP”,则攻击者将无法获取cookie值,除非他们已成功执行中间人(MitM)攻击。如果他们这么做了,你会遇到更大的问题

以及:

另一个问题是他们的计算机或浏览器是否受到恶意代码的危害。但是,如果发生这种情况,他们还有更大的问题要担心

ASP.NET Core未跟踪服务器端的会话。所有会话信息都包含在cookie本身中(请参阅)

如果要防止重播攻击,您需要自己跟踪会话。一种方便的方法是实现
ITicketStore
(请参阅)。提示:如果您不想让用户体验注销,请确保您的存储在IIS重新启动后仍然有效

在执行此操作之前,您当然需要评估重播攻击是否对您的设置构成真正的危险。引述:

如果您确保您的站点仅通过HTTPS提供服务,并且您的cookie设置为“安全”、“相同站点”和“仅HTTP”,则攻击者将无法获取cookie值,除非他们已成功执行中间人(MitM)攻击。如果他们这么做了,你会遇到更大的问题

以及:

另一个问题是他们的计算机或浏览器是否受到恶意代码的危害。但是,如果发生这种情况,他们还有更大的问题要担心

你能分享你正在使用的注销方法吗?我使用signoutAsync,同样的问题,cookie被重放。你能分享你正在使用的注销方法吗?我使用signoutAsync,同样的问题,cookie被重放。