在asp.net mvc应用程序中防止会话劫持

时间:2017-12-04 11:39:24

标签: asp.net-mvc owasp session-hijacking

我们如何防止asp.net mvc应用程序中的会话劫持?测试人员执行了以下步骤来劫持会话 - OWASP A2

  1. 以低权限用户身份登录。
  2. 以管理员用户身份登录。 (在一个单独的浏览器中 - 来自同一台机器)
  3. 已复制管理员用户的ASP.Net Session ID
  4. 将低级别用户的ASP.Net Session ID替换为管理员用户的SSL (https)

    5. 通过执行上述步骤,low-prev用户可以访问该应用的管理区域。

    1. 该应用程序由Secure托管。
    2. Cookie已设置为HttpOnlySession_End
    3. Cookie设置为在SignoutFiddler上过期。

      4. 尽管如此,我还是可以使用@ApplicationScoped public class MessageHandlerImpl implements MessageHandler { ... } 重现上述情况。有人可以请求帮助解决上述问题。

      感谢。

1 个答案:

答案 0 :(得分:1)

我认为如果有人能够仍然使用cookie,那么她应该能够登录。缓解应该使用短期cookie来处理敏感资源,并要求用户在做之前重新输入她的凭据任何敏感数据。例如,设置密码,授予权限等。另外,你应该让它很难仍然是一个cookie - 这似乎你已经做过了。值得添加Same-Site),并确保您的网站安全。

相关问题
最新问题