5
誰かのセッション変数をハックして新しいシャドウユーザーを作成することはできますか?Asp.NETのセッション変数をハッキングする
このような誇張を避ける一般的な方法は何ですか?
SSL証明書のインストールまたは....?
A
答えて
13
短い答えは...それに依存します。
ASP.NETでのセッションは、さまざまな方法(InProc/SQL Server/State Server)などで保存できます。クライアントセッションがどのようにメンテナンスされているかは、別のことです(クエリ文字列値、Cookieなど)。 。)
この答えではポスターは、ユーザーを認証し、セッション中に自分の名前を格納し、また、それらに関するいくつかの他の情報を格納することであろう時にあなたができる
Can we hack a site that just stores the username as a session variable?
一つのことを示唆しています。例えば彼らのUserAgentString、彼らのIPアドレスと異なるIPまたはUserAgentStringがセッションと対話しようとした場合、それを無効にすることができます。
1
何かが可能ですが、デフォルトでは難しいです。
一般に、セッションCookieを盗み出し、別のマシンで再作成することによってセッションをハイジャックします。しかし、これを行うには、WebサイトがCross Site Scriptingに対して脆弱でなければなりません(これは、ユーザー入力をエコーバックするときにServer.HtmlEncodeを使用して軽減できます)。もしあなたが脆弱になってしまった場合、ASP.NETセッションクッキーはHTTPのみとしてマークされます。つまり、ブラウザがサポートしていれば、クライアント側のスクリプトからアクセスすることはできません(Safariはこの設定を無視します)。
関連する問題
- 1. Asp.netセッション変数
- 2. ASP.NET MVCのセッション変数
- 3. Asp.netセッション変数のタイムアウト
- 4. ASP.NET WebForms - セッション変数Null
- 5. ログイン後のセッションとハッキングの可能性
- 6. ASP.NET MVCセッションがnullです。セッション変数は
- 7. JWTトークンを使用する場合のAsp.netコアのセッション変数とアプリケーション変数
- 8. セッション変数 - データテーブルnull値 - asp.net C#
- 9. ASP.NET WebApiセッションと静的変数
- 10. ASP.Netセッション変数 - キャッシュと闘う
- 11. ASP.NETセッション変数を保護するための注意
- 12. ASP.NETセッション固有のグローバル変数を作成するには?
- 13. javascript変数をキーとしてasp.net mvcのセッション変数にアクセスするには?
- 14. asp.net MVC5アプリケーションでログインユーザーチェックにセッション変数を使用するには
- 15. asp.net mvcでセッション変数から値を設定する5
- 16. asp.net 4.0でセッション変数をチェックするには?
- 17. asp.netのセッション変数にアクセスするには
- 18. ASP.NETでセッション変数を使用した複数のエントリ
- 19. ASP.NET一時変数またはセッション変数
- 20. ASP.netセッション変数に格納されるデータの最大量
- 21. セッション変数をリファクタリングする
- 22. ASP.NETセッション変数をjavascriptから設定しますか?
- 23. WCFセッション - ASP.Netセッション
- 24. asp.netセッションをセッションで破棄する
- 25. iFrameでセッション変数が失われるasp.net
- 26. ASP.NET MVC 3.0セッション変数の有効期限のリダイレクト?
- 27. ASP.NET - セッション変数が消えています
- 28. コンテキストメニューでのクリック時にセッション変数を設定する方法asp.net
- 29. ASP.NET C#Global_asaxのApplication_Errorはセッション変数にアクセスできない
- 30. クラスからハンドラーへのAsp.NET C#セッション変数
セッションに対するIPの格納は良いですが、同じIPグループ内の(つまり会社またはAOL内の)誰かに対してセッションハッキングの一般的な形式があるという問題はありません。 UserAgentにも同様の懸念があります(共通性がはるかに高い!) – annakata