asp.net mvcアプリケーションのセッションハイジャックを防ぐ

Question

asp.net mvcアプリケーションでセッションのハイジャックを防ぐ方法を教えてください。セッションをハイジャックするためにテスターが次のステップを実行しました。OWASP A2

1. 低特権ユーザーとしてログインします。
2. 管理者としてログインします。 （別のブラウザで - 同じマシンから）
3. は、管理ユーザのものと低前のユーザのASP.Net Session ID置き換え管理ユーザ
4. のASP.Net Session IDをコピーしました。

上記の手順を実行することで、低prevユーザーはアプリの管理領域にアクセスできました。

1. SSL (https)でホストされています。
2. CookieがSecureとHttpOnlyに設定されています。
3. Cookieの有効期限は、Session_EndとSignoutに設定されています。

でも、上記のシナリオをFiddlerで再現できます。誰かが上記の問題を逮捕する方法を助けてくれますか？

ありがとうございました。

Answer 1

誰かがまだクッキーを残していれば、ログインできるはずだと私は主張します。この緩和策は、機密性の高いリソースに対して短命のクッキーを使用する必要があります。機密データを扱うたとえば、パスワードの設定、権限の付与など。また、あなたがすでに行ったようなクッキーを作るのは難しいはずです。またSame-Siteを追加する価値があります）、サイトを安全に保ちます。