5
Có thể hack các biến session của một ai đó và tạo một người dùng shadow mới không?Hacking các biến session trong Asp.NET
Cách phổ biến để tránh những tình huống như vậy là gì?
Cài đặt chứng chỉ SSL hoặc ....?
A
Trả lời
13
Câu trả lời ngắn ... phụ thuộc.
Phiên trong ASP.NET có thể được lưu trữ bằng nhiều cách (InProc/SQL Server/Máy chủ trạng thái) v.v ... một điều cần lưu ý khác là cách phiên khách được duy trì (giá trị chuỗi truy vấn, cookie, v.v. .)
Như tấm áp phích trong câu trả lời này cho thấy
Can we hack a site that just stores the username as a session variable?
Một điều bạn có thể làm khi bạn xác thực người dùng và lưu trữ tên của họ trong phiên, sẽ cũng để lưu trữ một số thông tin khác về họ. ví dụ. UserAgentString của họ, Địa chỉ IP của họ và nếu một IP khác hoặc UserAgentString cố tương tác với phiên, bạn có thể vô hiệu hóa nó.
1
Mọi thứ đều có thể, tuy nhiên theo mặc định thì rất khó.
Nói chung bạn cướp một phiên bằng cách ăn cắp cookie phiên và tạo lại nó trên một máy khác. Tuy nhiên để thực hiện điều này, trang web phải dễ bị tấn công bởi Cross Site Scripting (mà bạn có thể giảm thiểu so với Server.HtmlEncode khi bạn phản hồi lại đầu vào của người dùng). Nếu nếu bạn kết thúc dễ bị tấn công, cookie phiên ASP.NET được đánh dấu là HTTP Only, có nghĩa là, nếu một trình duyệt hỗ trợ nó, nó không thể truy cập từ các kịch bản phía máy khách (mặc dù Safari bỏ qua thiết lập này).
Các vấn đề liên quan
- 1. ASP cho ASP.NET Session biến
- 2. ASP.NET Generic Handlers & Session
- 3. Asp.Net MVC và Session
- 4. Sử dụng log4net với ASP.NET để theo dõi các biến Session
- 5. Hacking/cracking deontology
- 6. biến session trong PHP không mang giao cho tôi đăng nhập trang, nhưng session ID là
- 7. ColdFusion Client vs Session Session
- 8. Điểm có biến toàn cục trong Bean Session Session là gì?
- 9. Symfony2: biến Session toàn cầu trong PHP mẫu
- 10. Tìm hiểu Embedded Firmware Hacking
- 11. Thiết lập một biến Session trong một mô hình
- 12. thực hành tốt nhất trong việc đặt tên các biến session
- 13. Ngăn chặn ASP.NET Session Timeout khi sử dụng Silverlight
- 14. Hacking ứng dụng của riêng bạn
- 15. Sự khác biệt giữa hai HttpContext.Current.Session và Session - asp.net 4.0
- 16. Lý do đổi tên ASP.NET Session Cookie Name?
- 17. Không thể truy cập vào các biến Session trên các máy chủ khác nhau
- 18. Khởi tạo giá trị thông qua biến Session
- 19. biến Session dường như không được cứu đang
- 20. Chia sẻ phiên trên các ứng dụng bằng ASP.NET Session State Service
- 21. Microsoft ReportViewer: Session Expired Errors
- 22. ASP.NET: Truy cập phiên biến trong global.asax
- 23. Biến phiên trong ASP.NET MVC
- 24. phiên biến thời gian chờ trong ứng dụng asp.net
- 25. ASP.NET - Biến mất biến phiên
- 26. PHP - Chuyển đổi tất cả dữ liệu POST thành các biến SESSION
- 27. php cron job có thể truy cập vào các biến session/cookies không?
- 28. Truy cập các biến ASP.NET Server trong jQuery
- 29. Truyền các biến với POST trong ASP.NET MVC
- 30. Làm thế nào để sử dụng ASP.NET Session State trong một HttpHandler?
Một điều: lưu trữ IP với phiên là tốt, nhưng không dễ dàng, vấn đề là một hình thức phổ biến của tấn công phiên là chống lại ai đó trong cùng một nhóm IP (tức là trong một công ty hoặc AOL). Mối quan tâm tương tự cho UserAgent (chỉ với tính phổ biến cao hơn nhiều!) – annakata