我想知道如何防止ASP.NET中的会话固定攻击(见
http://en.wikipedia.org/wiki/Session_fixation)
解决方法
一直在做更多的挖掘.在任何Web应用程序中防止会话固定攻击的最佳方法是在用户登录时发出新的会话标识符.
在ASP.NET Session.Abandon()不足以完成此任务. Microsoft在http://support.microsoft.com/kb/899918中声明:“”当您放弃会话时,会话ID Cookie不会从用户的浏览器中删除.因此,一旦会话被放弃,对同一应用程序的任何新请求将使用相同的会话ID,但将具有新的会话状态实例.“”
https://connect.microsoft.com/feedback/viewfeedback.aspx?FeedbackID=143361&wa=wsignin1.0&siteid=210#details已经要求修正错误
有一个解决方法来确保新的会话ID“在http://support.microsoft.com/kb/899918生成详细信息涉及到调用Session.Abandon然后清除会话id cookie.
如果ASP.NET不依赖开发人员这样做会更好.
