我正在尝试防止对使用默认身份的asp.net核心应用程序进行有效的身份验证cookie重放攻击。
我尝试了一些操作,但似乎没有任何效果。用户退出会话后,我可以看到我仍然可以使用旧的Cookie再次重播已验证的请求。
有办法防止这种情况吗?
谢谢
答案 0 :(得分:0)
ASP.NET Core不是不是在服务器端跟踪会话。所有会话信息都包含在cookie本身中(请参见this issue)。
如果要防止重放攻击,则需要自己跟踪会话。一种方便的方法是实现ITicketStore(请参见SessionStore)。提示:如果您不希望用户经历注销,请确保您的商店在IIS重新启动后仍然可以幸免。
在这样做之前,当然,您需要评估重播攻击对您的设置是真正的危险。引用this article:
如果您确保仅通过HTTPS来提供站点服务,并且将cookie设置为“安全”,“同一站点”和“仅HTTP”,那么除非攻击者无法获得cookie值,否则除非他们设法进行了中间人(MitM)攻击。如果他们这样做了,您就会遇到更大的问题。
并且:
另一个问题是他们的计算机或浏览器是否受到恶意代码的破坏。但是,如果再次发生这种情况,他们将有更大的问题要担心。