标签: asp.net session security owasp session-hijacking
在用户登录后避免会话劫持,在登录过程中我可以依赖的哪些信息来验证合法用户。因此拦截会话中继的人将被无效
他们的IP地址和浏览器信息是否足够好?
答案 0 :(得分:3)
绝对不。 IP地址可以是spoofed,浏览器可以改装成穷人的metasploit工具包。请参阅Poster工具。
OWASP项目非常好pointers来保护会话令牌以及与一般Web应用程序安全性相关的其他好东西。
信任 NOTHING ,不是从您的Web应用程序服务器的安装文件夹中启动的。
答案 1 :(得分:1)
您可以要求用户在执行重要操作之前重新进行身份验证(再次输入密码),例如更改其电子邮件地址。没有针对会话劫持的防弹保护,您需要选择您准备以安全名义牺牲多少可用性。