我编写了一个 ASP.Net MVC 应用程序,将会话信息存储在数据库中,但我可以看到会话 ID 存储在浏览器 cookie“ASP.NET_SessionId”中。这是安全风险吗?id 可以用来破解/窃取用户的会话吗?
问问题
2049 次
1 回答
0
cookie 中的会话 ID 用于将无状态 Web 请求与服务器上存储的状态相关联。
关于安全性,我认为 ASP.NET_SessionId 不包含身份验证详细信息 - 那是 .ASPXAUTH(如果您使用的是内置的 .NET 成员资格提供程序)。我认为它可以在某些情况下被用来窃取用户会话。
特洛伊·亨特 (Troy Hunt) 的博客对此进行了很好的阅读,特别是这篇文章对传输层保护不足的攻击的剖析,其中他的数据包嗅探了麦当劳中 wifi 用户的 cookie 并以他们的身份登录。
于 2012-09-24T17:57:03.457 回答