只是想知道,由于会话ID存储在cookie客户端,我可以很容易地修改该cookie并将会话ID值更改为另一个用户会话ID的值。允许第一个用户从第二个用户获取数据。 如果会话用于存储“登录会话”,用户可以登录,就好像它是另一个用户一样,那么容易“破解”的会话也是如此? 我自己试了一下,我可以很容易地导航与另一个用户会话,也许这只能工作,因为两个会话来自相同的IP和计算机,但ASP MVC引擎提供任何安全检查,以避免这种情况?ASP MVC会话安全风险
1
A
回答
1
您不应该使用会话来存储“登录会话”。 .ASPXAUTH cookie用于存储经过身份验证的用户信息,并且使用您设置的机器密钥或由IIS自动生成的机器密钥对此cookie进行加密。
如果您担心会话劫持(取决于您的应用程序,您应该),那么您应该使用身份验证Cookie(userId)和会话中的信息的组合以确保值确实匹配。
会话和身份验证这两个概念通常会混淆起来,但它们不应该是这样。一个用户向应用程序标识用户并确认用户实际上已经过身份验证(Forms Auth Ticket/Cookie),另一个只是在Web请求之间存储数据。
这里是围绕Forms Authentication Ticket and Cookie为.NET
另外,请参阅this Q&A,有点您问题相关的一些信息 - 它可以提供一些更深入的理解是如何工作的,并帮助你实现你所需要的。
相关问题
- 1. WordPress - 安全风险?
- 2. AHAH是安全风险吗?
- 3. 共享会话(Asp-的> asp.net)安全
- 4. 用户身份验证 - 安全风险通过HTTP传递会话cookie?
- 5. 可以image.src是一个安全风险?
- 6. 个人使用泡椒安全风险
- 7. Apache中auto_prepend_file的安全风险?
- 8. 启用MSDTC的安全风险
- 9. ElementRef安全风险角度2
- 10. 多个提交按钮安全风险
- 11. PHP过滤器和安全风险
- 12. 表单身份验证安全风险
- 13. 使用xpath有什么安全风险?
- 14. WCF自签证明的安全风险
- 15. SSL系统属性 - 安全风险?
- 16. Drupal中$ update_access_free = true的安全风险
- 17. 有任何安全风险codealike?
- 18. phpMyAdmin是否会对生产造成安全风险
- 19. 会向公众展示主要潜在安全风险吗?
- 20. 不使用OO封装会产生安全风险?
- 21. 使用Iframe会带来安全风险吗?
- 22. 无休止的会议:任何安全风险?
- 23. Asp net mvc 5安全
- 24. 会话安全
- 25. ASP中的会话MVC
- 26. 在OOP/MVC中的会话安全性
- 27. asp.net会话安全
- 28. PHP会话安全
- 29. PHP - 会话 - 安全
- 30. Drupal安装的公共存储库:有哪些安全风险?
我知道我应该使用由asp mvc提供的AuthCookie,但是,在这个应用程序中,我需要模拟“2个会话”,我需要在同一页面中保留两个单独的用户会话,以他可以登录其中任何一个,并从一个注销不会干扰另一个。所以我最终使用框架会话来实现这一点。否则,我想我应该制作我自己的会话饼干? – user1777914 2013-05-08 23:22:20
这是您在那里我不完全理解的一些奇怪的需求操作。但是,您可以使用加密的信息发布自己的cookie,这样可以使您既安全又实现您想要的内容。 AFAIK,无论如何你都不能从一个客户那里进行两个会话,所以......我的知识将会受到限制。但是,对于您的原始问题,不,会话ID将以纯文本形式存储。 – Tommy 2013-05-08 23:26:20
在最后添加了一些可以帮助你的东西 – Tommy 2013-05-08 23:28:16