【发布时间】:2012-09-24 17:41:26
【问题描述】:
我编写了一个将会话信息存储在数据库中的 ASP.Net MVC 应用程序,但我可以看到会话 ID 存储在浏览器 cookie“ASP.NET_SessionId”中。这是安全风险吗? id 可以用来破解/窃取用户的会话吗?
【问题讨论】:
标签: asp.net-mvc-3 cookies session-cookies sessionid sql-session-state
【发布时间】:2012-09-24 17:41:26
【问题描述】:
cookie 中的会话 ID 用于将无状态 Web 请求与服务器上存储的状态相关联。
关于安全性,我认为 ASP.NET_SessionId 不包含身份验证详细信息 - 那是 .ASPXAUTH(如果您使用的是内置的 .NET 成员资格提供程序)。我认为它在某些情况下可以用来窃取用户会话。
Troy Hunt 的博客对此进行了很好的阅读,尤其是这篇文章Anatomy of an insufficient transport layer protection attack,其中他的数据包嗅探了麦当劳中 wifi 用户的 cookie 并以他们的身份登录。
【讨论】:
-
那篇博文很全面。谢谢。