0

我们如何防止在 asp.net mvc 应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话 - OWASP A2

  1. 以低权限用户身份登录。
  2. 以管理员用户身份登录。(在单独的浏览器中 - 来自同一台机器)
  3. 复制ASP.Net Session ID了管理员用户的
  4. 将 low-prev 用户替换ASP.Net Session ID为 admin 用户。

通过执行上述步骤,low-prev 用户能够访问应用程序的管理区域。

  1. 该应用程序由SSL (https).
  2. Cookie 已设置为SecureHttpOnly
  3. Cookie 设置为在Session_End和到期Signout

尽管如此,我仍然可以使用Fiddler. 有人可以帮助解决上述问题。

谢谢。

4

1 回答 1

0

我会争辩说,如果有人能够保留 cookie,那么她应该能够登录。缓解措施应该是对敏感资源使用短期 cookie,并要求用户在执行任何敏感数据之前重新输入她的凭据. 例如,设置密码、授予权限等。此外,您应该让 cookie 难以保持 - 看起来您已经这样做了。还值得添加Same-Site),并确保您的网站安全。

于 2017-12-04T11:47:02.013 回答