Security ASP.NET中的会话标识符漏洞问题_Security_Session_Asp Classic - Fatal编程技术网

Security ASP.NET中的会话标识符漏洞问题

security session asp-classic

Security ASP.NET中的会话标识符漏洞问题,security,session,asp-classic,Security,Session,Asp Classic,我们有一个用经典ASP编写的产品。我们正在通过同样的安全认证。我们无法通过以下提到的标准之一会话令牌长度和熵如下所示问题: 会话ID的长度为24个字符，会话标识符本质上不是随机的；它们是可预测的建议：会话ID应该更长（至少50个字符）并且是随机的有人对此有什么建议吗？不要将会话用于任何与安全相关的内容；使用数据库实现您自己的类似会话的机制。要使其发挥作用，您必须遵循以下步骤：在每个页面请求中，检查名为“SESSION_TOKEN”的表单变量的值（当然也可以是您自己的命名），如果不存在

我们有一个用经典ASP编写的产品。我们正在通过同样的安全认证。我们无法通过以下提到的标准之一

会话令牌长度和熵如下所示
问题: 会话ID的长度为24个字符，会话标识符本质上不是随机的；它们是可预测的
建议：会话ID应该更长（至少50个字符）并且是随机的

有人对此有什么建议吗？
不要将会话用于任何与安全相关的内容；使用数据库实现您自己的类似会话的机制。要使其发挥作用，您必须遵循以下步骤：

在每个页面请求中，检查名为“SESSION_TOKEN”的表单变量的值（当然也可以是您自己的命名），如果不存在，则创建50个字符的随机字符串，然后在查询字符串上或作为隐藏表单值从一页传递到另一页

使用SESSION_令牌作为名为“SESSION_Data”的数据库表的键，该表将模拟经典的ASP会话集合，根据上述令牌保存每个会话的数据，并具有一个存储上次访问时间的字段，以便您可以“终止”数据

这至少会给你一个好的开始。当然，另一种方法是切换到ASP.NET，但我想你已经想到了
对我来说，50个字符听起来真是太过分了。24个随机基64个字符对我来说很合理。

[session]相关文章推荐

Session Drupal会话表越来越大 session drupal

Session Cakephp身份验证组件出现故障 session cakephp authentication

Session Magento永久客户会话 session magento cookies login

Session '；会议'；将express/redis用于会话存储时未定义 session node.js redis express

Session ASP问题：是否可以将会话变量作为参数传递给Global.asa文件中的函数？ session variables asp-classic

Session 分几个步骤注册表单 session symfony

Session 会话未进入单点登录会话Tomcat session tomcat single-sign-on

Session Meteor会话命名空间 session meteor

Session 如何在Mule ESB会话中像在web应用中一样使用？ session mule

Session express.js cookie会话过期，csrf session express cookies

Session Get can'；中基于nancyfx cookies的会话值；不能在Post中找到，反之亦然 session

Session 我们可以通过Java代码扩展liferay会话吗？ session liferay

Session 如果我在DD中提供会话配置，在servelt中提供setMaxInactiveInterval，应用程序中会反映哪个超时？ session

Session Shibboleth服务提供程序返回前的工作任务已通过身份验证 session authentication single-sign-on

Session 在构建身份验证应用程序时应该使用什么缓存机制 session authentication caching

Session 检查Laravel 5.1中是否存在会话密钥？ session laravel laravel-5

Session 如何使用web请求删除c#中的静态会话和静态cookie session c#-4.0 cookies

Session 如何使用此查询获取角色的值 session laravel-5 login

Session 两个客户端和连接 session

Session Redis会话映射不允许索引 session go struct redis

随机文章推荐

Aframe 自动移动相机A-frame js aframe

Aframe 是否有重新居中/重置方向的方法？ aframe

Aframe 如何更改io3d家具的材质？ aframe

Aframe 如何在a-frame和cannon.js中创建弹簧 aframe

Aframe 使用偏航和俯仰的A帧VR 3d对象定位 aframe

Aframe 只有一侧深度的帧图像 aframe

[security]相关推荐

Security 为成员身份角色授权编辑Web.config
Security

Security Web浏览器的哪些方面应该通过插件进行配置？
Security Browser Plugins Interface

Security 在delphi7中安全删除文件
Security Delphi File Io

Security 在网站的每个页面上使用SSL有多重要？
Security Ssl

Security htaccess&；htpasswd未正确连接
Security .htaccess Authentication

Security 在线支付需要哪些安全措施？
Security Ssl Paypal

Security TFS在没有域的情况下工作吗？
Security Tfs

Security 登录并强制执行：验证码-vs-睡眠（1）
Security Login

Security SonataAdminBundle安全角色
Security Symfony

Security AngularJS和Java Jersey Rest之间的CORS
Security Rest Angularjs Jersey

Security 保护web服务器免受ssh暴力攻击
Security Ssh

Security SpringDataREST-内容和功能；基于用户的操作&；角色
Security

Security 在浏览器中显示图表，同时确保数据安全
Security Actionscript D3.js

Security 用于不带通配符的子域的SSL
Security Ssl Https

Security box.com api-重定向位置-安全性
Security Oauth 2.0

Security 网络安全：如何防止黑客欺骗银行'；在提交表格之前，是否访问网站并获取数据？（附例）
Security

Security Symfony2-处理HTTP/实体用户访问限制
Security Symfony Http

Security 使用WireShark的Snort ID和恶意数据包分析
Security

Security 数据库级别上的UUID用作安全措施而不是真正的权限控制？
Security Servlets

Security ASP.Net内核中的自定义身份验证机制
Security Authentication Asp.net Core

Security IdentityServer-验证来自ADFS的响应
Security

Security 删除xmr.crypto-pool.fr进程
Security Server

Security 在数据库中安全地存储密码
Security Passwords

Security 如何正确写入Dockerfile，并在主机非根用户/uid下使用docker compose（最佳实践）？
Security Docker

Security 为什么我要转换&；至&；amp；在XSS预防中？
Security

Security 如何从HAPROXY禁用特定密码套件-我可以这样做吗；ssl默认绑定密码编号RC4-MD5“；
Security Ssl Encryption

Security 无法在AuthenticationFetcher micronaut中获取客户端证书
Security

Security 使用Spring云数据流和KeyClope的错误登录重定向
Security Authentication Keycloak Openid

Security 如何使用JDBC by.yml文件配置Quarkus安全性
Security Jdbc Yaml

Security Firebase auth与PHP，我使用它对吗？安全吗？
Security Javascript

Tags

Fortran Aem Iframe Loopbackjs Parse Platform Webstorm Autodesk Forge Service Google Maps Api 3 Xcode Mono Css Dynamics Crm 2011 Kernel Command Line Sprite Kit Android Ndk Eclipse Asterisk Jms Https Plot Hyperledger Fabric Machine Learning Google Cloud Dataflow Routes Visual Studio 2010 Ios8 Tcp Kdb Compilation Xamarin Vbscript Karate Jsf Youtube Api Terminal Ibm Cloud Jquery Sdk Download Applescript Laravel 4 Excel Formula Python 2.7 Cmd Sails.js Webview Internet Explorer Winforms Joomla Sqlite Sencha Touch 2 Tableau Api Sencha Touch Memory Leaks C++11 Responsive Design Facebook Graph Api Mariadb Odoo Tinymce Tensorflow Drupal 6 Google Plus Prometheus Ruby On Rails 3 Mod Rewrite Embedded Programming Languages Entity Framework Core Jqgrid Xml Asp.net Mvc 4 Udp Ssis Email Stata Dll Sublimetext3 Clojure Vmware Db2 Ruby Resharper Sap Requirejs Streaming Blockchain Actionscript Linkedin Cocoa Amazon Redshift Youtube Leaflet Jquery Plugins Docusignapi Artificial Intelligence Google Api Android Layout C++ Cli Jsf 2 R Chart.js Stored Procedures Ibm Midrange Linker Memory Silverlight 4.0 Scripting Sql Sql Server 2005 Jestjs Ssas Build Go Qml Listview Npm Codenameone Firebase Io Process Rally Utf 8 Apache Camel Vhdl Stanford Nlp Methods Swing Ignite Numpy Log4net Ssh Google Apps Script Windows Runtime Properties Class React Native Magento Artifactory Amazon Dynamodb Mediawiki Path Mobile Spring Integration Perl Google App Engine Nlp Pine Script Gcc Breeze Computer Vision Cygwin Sequelize.js Windbg Visual Studio Ethereum Hive Javafx 2 Jdbc Python Robotframework Hash Stm32 Gitlab Google Chrome Log4j Login Shiny Mercurial Drupal Keras Ms Office Directory Twilio Configuration Ssl EmptyTag Internationalization Bots Silverstripe Editor Jekyll Clearcase Wolfram Mathematica Moodle Google Cloud Platform Vue.js Cmake Openlayers Indexing Unicode Checkbox Vb6 Computer Science Yii2 Orchardcms Yii Ios4 Drupal 7

Copyright © 2024. All Rights Reserved by - Fatal编程技术网