是否有任何(开源)asp.net实现(以httphandler或其他形式)用于以下文章:http://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf
答案 0 :(得分:0)
本文假设HMAC + Symmetric Cipher足以抵御针对HTTP会话的所有攻击。这是一个不正确的假设,因为这仍然为MITM攻击敞开了大门。此外,这种用途的加密系统在CMAC模式下更好地实现为分组密码,但这同样容易受到攻击。
如果不保护实际的HTTP内容,您就会打开xss样式攻击的大门。攻击者会正常转发流量,但会附加一些恶意JavaScript以使用XHR执行自己的请求。这假设其他基本会话安全系统已到位,例如“仅限HTTP”cookie。
简而言之,是的,有一个开源协议可以保护您的会话免受所有攻击。它的SSL! SSL使用PKI来抵御MITM,这是迄今为止最好的解决方案。在整个整个会话中需要使用HTTPS,这是OWASP前10名Broken Authentication and Session Management的要求。