【发布时间】:2017-09-16 13:36:13
【问题描述】:
如何防止在 asp.net Web 应用程序中被 burp 套件等工具劫持会话?我已尝试在 global.asax 文件中检查 ipAdress 和 Web 浏览器详细信息以进行身份验证,但无法找到解决方案。
【问题讨论】:
标签: session authentication cookies token session-hijacking
【发布时间】:2017-09-16 13:36:13
【问题描述】:
需要强调的是,SSL/TLS (HTTPS) 不能防止会话 ID 预测、暴力破解、客户端篡改或固定。然而,即使在今天,从网络流量中泄露和捕获会话 ID 仍然是最流行的攻击媒介之一。
为了在 ASP.NET 中实现会话管理,您应该实现 ASP.Net 框架和指南。
对于关键交易,请确保您保护有效负载以检测任何未经授权的操作。
【讨论】:
使用 HTTPS 进行安全连接以防止网络嗅探。
使用 httpOnly 防止恶意客户端 javascript 访问 cookie。
【讨论】:
-
谢谢.. 但是还有其他方法可以至少降低会话劫持的可能性吗?
-
会话劫持的载体有很多。如果要防止网络嗅探器,请使用 HTTPS。人们还可以通过向网站注入恶意 javascript 来获取会话令牌,因此请使用 httpOnly 以便客户端 javascript 无法访问 cookie。
-
np。很高兴有帮助!现在,如果您不介意为这个答案打勾,那就太棒了! :)