我正在测试一个网站,该网站对所有用户和会话都具有相同的asp.net sessionID。还有另一个FedAuth cookie,它是唯一的。但这是否可以更安全地在整个主机上使用相同的asp.net sessionID?
谢谢
答案 0 :(得分:0)
所有用户和会话之间的asp.net sessionID相同,可能是会话劫持导致安全漏洞的原因:
https://en.wikipedia.org/wiki/Session_hijacking
有关会话管理的有用文章。
https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management
会话ID可能被盗并用于攻击您的系统。用户注销后,会话存储应始终消失。 FedAuth cookie可让您确定您的用户,但是对所有用户使用相同的会话并不安全。为此,您可以使用应用程序存储。