ASP.NET中的会话劫持计数器措施

Question

我想实施一些措施来防止/减轻会话劫持。因此，我想知道来自内置ASP.NET或自定义组件的选项。

请注意，会话劫持是指Forms Auth session和Session State。

我的ASP.NET一直在为所有页面使用HTTPS。但是，一旦第三方以某种方式获得会话cookie id，例如，会话可能会被破坏。来自用户的硬盘，跨站点脚本攻击和中间人攻击

特别是，我担心会话ID被劫持，因为https一直用于我的项目

以下是我审核的链接，这些链接是几年前写的：

Foiling Session Hijacking Attempts Jeff Prosise请参阅“警告”部分，了解它的缺点。

我找不到太多相关信息，或者与网上的杰夫不同。

Answer 1

以下是一些建议：

1. 加盐你的sessionId。这将确保您拥有唯一的会话ID - 但是，我非常确定默认的ASP.NET会话ID对于您的目的而言是唯一的;但是，为了增加安全性，您可以使用可以控制或自我识别的东西。例如，您可以使用GUID作为盐 - 您可以根据需要通过更新来控制。
2. 在字典对象中跟踪用户的SessionId和用户IP地址。这将使您能够将会话ID与IP地址匹配，并显示在用户LAN之外发生的任何会话劫持。显然不是没有瑕疵，因为如果用户的计算机或路由器被感染会无关紧要，但这至少会使攻击者更难完成任务。

如果用户的计算机受到感染，不确定会怎么做，但无论您是否增加防御措施，都存在风险。