我希望防止我的 ASP.NET 应用程序中的会话劫持,并遇到了 Jeff Prosise 的这篇很棒的帖子。但是,它是从 2004 年开始的,我想知道是否有任何更新可以执行相同的操作或导致任何并发症?另外,有没有人在生产服务器上使用过这个,如果有,有没有由此引起的问题?唯一可能影响我的应用程序的问题是如果某人的 IP 网络在短时间内发生变化,但我无法想象这很有可能。
谢谢
问问题
403 次
2 回答
0
这是一种有趣的会话强化方法,但它不会阻止会话劫持。该系统与HTTPOnly Cookies存在相同的问题,即攻击者可以使用 xss 从受害者的浏览器创建请求,并且攻击者不需要知道会话 id 的值。
此引用摘自您链接到的文章:
SecureSessionModule 提高了使用窃取的会话 ID 劫持会话的黑客的门槛
这提高了标准,但您仍然需要修补 XSS 和 CSRF 漏洞。
于 2010-03-05T22:37:19.977 回答
0
这早就死了,但我注意到它的一个问题可能会在未来几年开始影响越来越多的服务器。生成的部分 MAC 使用 IP 地址,以“.”分隔,但 IPv6 地址使用“:”。
我在 IPv6 上没有生产服务器,但我最近升级了我的开发机器,它通过 IPv6 连接到 Cassini,我很快就陷入了不间断的会话错误字符串。
于 2011-11-24T11:50:35.277 回答