0
誰かがセッションを転送できないようにする良い方法はありますか?そのため、ユーザーはセッショントークンIDをあるマシンから別のマシンに移動/コピーできませんか?
ありがとうございました!
A
答えて
1
受信IPアドレスの文字列を暗号化してセッションに入れるのはなぜでしょうか。次に、セッションオブジェクトを操作するときに、セッションからipを復号化し、要求IPに対して有効であることを確認することによって、セッションオブジェクトを検証することができます。
単なるアイデアです。コードが必要な場合はお知らせください。
0
web.configファイルのsessionStateノードのcookieless属性をfalseに設定して、クッキーを使用してURLの代わりにセッションキーを保存するようにします。ここでは、件名に(古い)の記事のカップルです:
- Top 10 Application Security Vulnerabilities in Web.config Files
- MSDN: Understand How the ASP.NET Cookieless Feature Works
Cookieは、完全に "安全" ではありません。 google the topicをお探しの場合はsession hijackingとなります。
+0
これは、OPの質問に対処していないようです。あなた自身が正しく指摘しているので、セッショントークン(ここではクッキー内)は引き続き別のマシンにコピーできます。 OPは、そのコピーが既に発生した状況、すなわちセッションハイジャックからの保護方法をどのように処理するかを尋ねる。 – Cheekysoft
関連する問題
- 1. winston転送がコンソールにログするのを防止します
- 2. セッション転送
- 3. XamarinのiOS防止回転
- 4. セッションでフォームスパムを防止する
- 5. CSSアニメーション転送がCSSトランジションを防止しています
- 6. Laravelセッション防止なし
- 7. tsファイルの送信を防止する
- 8. フォーム送信を防止する方法
- 9. 二重送信フォームを防止する
- 10. 防止二重フォーム送信
- 11. 特定のUIViewの回転時のアニメーションを防止する
- 12. Webルートの変更時にセッション終了を防止する
- 13. basic-authでサーブレットのTomcatでセッションを防止する方法は?
- 14. スプリングセッション - セッションの同時変更を防止する
- 15. javascriptからの送信を防止
- 16. 回転時にiPhoneのスケーリングを防止する
- 17. Quaternionで特定軸周りの回転を防止する
- 18. アプリケーション全体の回転を防止するandroid
- 19. フォームでのダブル送信の防止
- 20. ステートレスレスフォームでの二重送信の防止
- 21. グレースモンキーのサーバートラッキング防止、クロスドメインフォームの送信
- 22. CSSでSVGテキスト回転を防止する
- 23. HTMLで送信するときのリフレッシュを防止します
- 24. ページのリフレッシュとフォームデータの送信を防止する
- 25. フォーム内のフォームの送信を防止する
- 26. 複数のテキストエリアデータの送信を防止する
- 27. HttpOnlyフラグでセッション固定攻撃を防止できますか?
- 28. フォームの再送信を防止するYii 2
- 29. Tomcatサーバー間でセッションを転送する方法は?
- 30. 32ビットtypelibを64ビットプロジェクトに転送する方法(ネームフラッシュを防止しながら)
これは、両方のユーザー(被害者とハイジャッカー)が同じIPアドレスを持つように見えるため、ユーザーがNATファイアウォールの背後にいる瞬間には機能しません。 – slugster