私は、管理者とビジネスメンバーのセッションを追跡するためにセッション変数を使用するASP.NETサイトを持っています。管理者がURLをコピーして電子メールで貼り付けると、ログインする前にログインしていないユーザーがクリックすると、管理者としてログインしたサイトにリダイレクトされるバグが発生しました。これは非常に大きなセキュリティ問題です。ユーザーがドメイン外からサイトに誘導されているかどうかを確認してから、新しいメンバーとしてサイトにリダイレクトする方法を教えてください。私のWebサイトへのトラフィックの起点を特定する方法
答えて
これは、ASP.NETがURLの一部として送信されるセッションIDを可能にすることを私に驚き。これはひどく不安です。
気づいたとおり、セッションIDをURLの一部として含めると、コピーおよびペーストされたURLにはそのセッションデータが含まれます。この問題を回避して、ユーザーがリンクをクリックしているか、実際にサイトをトラバースしているかどうかを判断できますが、これらの方法のいずれも悪意のあるユーザーによって無効になる可能性があります。
ユーザーが悪意のあるユーザーにURLを送信しないと主張することがあります。まず第一に、ユーザーは多くのばかげたことを行い、最も確実にURLをコピーして他の人に貼り付けます。次に、URLはすべての場所に記録され、これらのログにアクセスできるすべてのユーザーが利用できるようになります。
ASP.NETでセッションを処理する正しい方法は、コピー/貼り付けやログに記録されない場所から転送されないセッション状態のCookieを使用することです。 thisページによれば、ASP.NETはURLベースのセッションではなくクッキーを使用するようにデフォルト設定する必要があります。
URLベースのセッションをハッキングするのではなく、Cookieベースのセッションを使用するようにアプリケーションを設定します。
セッション変数とその作成者ipの間にマップを作成できますか?そうであれば、セッション変数の各使用がその作成者のIPによって実行されることを検証することができます。 ipsが異なる場合は、新しいメンバとしてリダイレクトする
"セッション識別子をリサイクルしないようにアプリケーションを設定することで、セッションデータを共有する機会を減らすことができます。これを行うには、sessionState構成要素のregenerateExpiredSessionId属性をこれは期限切れのセッションIDでcookielessセッション要求が行われたときに新しいセッションIDを生成します。
- 1. linuxの特定のポートへのトラフィックを知る方法
- 2. %のトラフィックを別のWebサイトにリダイレクトする方法は?
- 3. AWS特定のWebサイト/フォルダへのアクセスを許可するIAM
- 4. サーバーへのSecure Solr特定のWebサイトへの文書化
- 5. 特定のインスタンス(Amazon EC2)へのポート上のトラフィックをルーティングする
- 6. NETunnelProviderManagerのIPトラフィックのソースプロセスを特定する方法
- 7. Microsoft Cognitive Image Search API - 特定のWebサイトへの結果のフィルタリング
- 8. フィドラー経由で特定のトラフィックをブロックする方法は?
- 9. AzureのWebサイトで特定のWebプロジェクトを展開する
- 10. asp.netのWebサイトでユーザーの特権を作成する方法
- 11. 特定のIPから異なるOriginへの直接AWSトラフィック
- 12. 特定のIPアドレスでAWS Beanstalkサイトの特定のURLへのアクセスを許可する方法
- 13. 特定のWebサイトのインテント - Android
- 14. 特定のWebサイトを一時的にブロックするプログラム的な方法?
- 15. Firebaseにサイト名を表示する方法Deeplink webへのリダイレクトリンク
- 16. 特定のサイトとの間でトラフィックを特定のNICにどのように誘導しますか?
- 17. NAT(リダイレクト)特定のポートへの発信トラフィック
- 18. Chrome Dev Toolsの特定のドメインからのトラフィックを表示する方法
- 19. 特定のアドレスへジャンプする方法
- 20. 特定のdivへスクロールする方法
- 21. Visual Studio Team Services:特定のWebページへのアクセスを拒否する方法
- 22. Undertow - REST APIへのHTTP/HTTPSトラフィックを監視するリバースプロキシの設定方法
- 23. Linux VMのトラフィックを特定のIP範囲に制限する方法は?
- 24. QtWebKit 2.2特定のWebサイトをロードするときのセグメンテーション
- 25. 特定のサイトのWebページからテキストを収集する
- 26. C#WebClient()Webサイトの特定の部分をダウンロードする
- 27. 起動デバイスを特定する方法
- 28. DjangoのWebサイトをローカライズする方法
- 29. 私のw3wpプロセスの再起動の原因を特定する方法
- 30. サイト内の現在のロケールを特定する方法