0

我如何防止在 asp.net Web 应用程序中从 burp 套件之类的工具中劫持会话?我尝试在 global.asax 文件中检查 ipAdress 和 Web 浏览器详细信息以进行身份​​验证,但无法找到解决方案。

4

2 回答 2

1

需要强调的是,SSL/TLS (HTTPS) 不能防止会话 ID 预测、暴力破解、客户端篡改或固定。然而,即使在今天,从网络流量中泄露和捕获会话 ID 仍然是最流行的攻击媒介之一。

为了在 ASP.NET 中实现会话管理,您应该实现 ASP.Net 框架和指南。

对于关键交易,请确保您保护有效负载以检测任何未经授权的操作。

于 2017-05-22T14:02:29.207 回答
0

使用 HTTPS 进行安全连接以防止网络嗅探。

使用 httpOnly 来防止恶意客户端 javascript 访问 cookie。

于 2017-04-20T05:13:25.047 回答