Jeff Prosise的会话劫持博客 - 任何更新?

时间:2010-03-05 22:03:44

标签: asp.net security session-hijacking

我希望阻止我的ASP.NET应用程序中的会话劫持,并且Jeff Prosise遇到了这个great post。但是,从2004年开始,我想知道是否有任何更新要么执行相同的操作,要么导致任何复杂情况?还有,有人在生产服务器上使用过这个,如果有的话,是否有任何问题?可能影响我的应用程序的唯一问题是,如果有人的IP网络在短时间内发生变化,但我无法想象这很可能。

由于

2 个答案:

答案 0 :(得分:0)

这是一种有趣的会话强化方法,但它不会阻止会话劫持。该系统与HTTPOnly Cookies具有相同的问题,即攻击者可以使用xss从受害者的浏览器创建请求,并且攻击者无需知道会话ID的值。

此引用摘自您链接的文章:

  

SecureSessionModule为使用被盗会话ID劫持会话的黑客提高了标准

这提高了标准,但您仍然需要修补XSS和CSRF漏洞。

答案 1 :(得分:0)

这已经很久了,但我注意到它的问题可能在未来几年内开始影响越来越多的服务器。生成的部分MAC使用IP地址,拆分为“。”,但IPv6地址使用“:”。

我在IPv6上没有生产服务器,但我最近升级了我的开发机器,它通过IPv6连接到Cassini,我很快就遇到了一系列不间断的会话错误。