asp.net – 一些黑客可以从用户窃取cookie,并在网站上使用该名称登录?

前端之家收集整理的这篇文章主要介绍了asp.net – 一些黑客可以从用户窃取cookie,并在网站上使用该名称登录?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
阅读这个问题

different users get the same cookie value in aspxanonymous

搜索一个解决方案,我开始思考,如果一个人可能真的偷了cookie有一些方式,然后把它放在他的浏览器和登录让我们说作为管理员

你知道表单认证如何保证即使cookie被偷了,黑客也没有实际登录使用它?

或者你知道任何其他自动防御机制吗?

谢谢先进。

解决方法

Is it possible to steal a cookie and
authenticate as an administrator?

是的,有可能,如果表单认证cookie没有加密,有人可以破解他们的cookie给他们提高的权限,或者如果不需要SSL,复制别人的cookie。但是,您可以采取措施减轻这些风险:

在system.web / authentication / forms元素上:

> requireSSL = true。这要求cookie只通过SSL传输
> slidingExpiration = false。为true时,可以重新激活过期的凭单。
> cookieless = false。不要在您试图强制执行安全性的环境中使用无Cookie会话。
> enableCrossAppRedirects = false。如果为false,则不允许跨应用处理Cookie。
> protection = all。使用machine.config或web.config中指定的计算机密钥加密和散列Forms Auth cookie。此功能可阻止某人窃取自己的Cookie,因为此设置会告知系统生成Cookie的签名,并在每个身份验证请求中将签名与传递的Cookie进行比较。

如果你想要,你可以通过在Session中添加一些认证信息来添加一点保护,比如用户用户名哈希(用纯文本的用户名和他们的密码)。这需要攻击者窃取会话cookie和Forms Auth cookie。

猜你在找的asp.Net相关文章