3

如果攻击者将设置在 SetAuthCookie 调用中的身份验证 cookie 从受害者 PC 复制到他们的 PC,是否会认为攻击者已通过 Web 应用程序的身份验证?

public static void SetAuthCookie(
    string userName,
    bool createPersistentCookie
)

使用标准表单身份验证 FormsAuthentication.SetAuthCookie 和参数 createPersistentCookie = false

假设这用于 Web 配置设置

<authentication mode="Forms">
    <forms name="MyWebApp" path="/" loginUrl="~/Default.aspx"
     timeout="30" defaultUrl="~/Default.aspx" protection="All"
     requireSSL="true" />       
</authentication>
4

1 回答 1

4

是的; ASP.Net 在身份验证 cookie 中不包含 IP 地址。(这甚至对共享 WiFi 或代理没有帮助)

但是,由于您拥有requireSSL="true",攻击者(原则上)将无法获取该 cookie。(除非他们可以访问服务器或客户端,在这种情况下你会遇到更大的问题)

这就是为什么您应该始终使用 SSL。

于 2013-03-08T20:20:06.620 回答