5
誰かのセッション変数をハックして新しいシャドウユーザーを作成することはできますか?Asp.NETのセッション変数をハッキングする
このような誇張を避ける一般的な方法は何ですか?
SSL証明書のインストールまたは....?
A
答えて
13
短い答えは...それに依存します。
ASP.NETでのセッションは、さまざまな方法(InProc/SQL Server/State Server)などで保存できます。クライアントセッションがどのようにメンテナンスされているかは、別のことです(クエリ文字列値、Cookieなど)。 。)
この答えではポスターは、ユーザーを認証し、セッション中に自分の名前を格納し、また、それらに関するいくつかの他の情報を格納することであろう時にあなたができる
Can we hack a site that just stores the username as a session variable?
一つのことを示唆しています。例えば彼らのUserAgentString、彼らのIPアドレスと異なるIPまたはUserAgentStringがセッションと対話しようとした場合、それを無効にすることができます。
1
何かが可能ですが、デフォルトでは難しいです。
一般に、セッションCookieを盗み出し、別のマシンで再作成することによってセッションをハイジャックします。しかし、これを行うには、WebサイトがCross Site Scriptingに対して脆弱でなければなりません(これは、ユーザー入力をエコーバックするときにServer.HtmlEncodeを使用して軽減できます)。もしあなたが脆弱になってしまった場合、ASP.NETセッションクッキーはHTTPのみとしてマークされます。つまり、ブラウザがサポートしていれば、クライアント側のスクリプトからアクセスすることはできません(Safariはこの設定を無視します)。
関連する問題
- 1. Asp.netセッション変数
- 2. Asp.netセッション変数のタイムアウト
- 3. ASP.NET WebForms - セッション変数Null
- 4. ログイン後のセッションとハッキングの可能性
- 5. ASP.NET MVCセッションがnullです。セッション変数は
- 6. ASP.Netセッション変数 - キャッシュと闘う
- 7. ASP.NET WebApiセッションと静的変数
- 8. ASP.NETセッション固有のグローバル変数を作成するには?
- 9. ASP.NETセッション変数を保護するための注意
- 10. ASP.NETでセッション変数を使用した複数のエントリ
- 11. ASP.NET一時変数またはセッション変数
- 12. asp.net 4.0でセッション変数をチェックするには?
- 13. asp.net MVC5アプリケーションでログインユーザーチェックにセッション変数を使用するには
- 14. asp.netのセッション変数にアクセスするには
- 15. セッション変数をリファクタリングする
- 16. ASP.netセッション変数に格納されるデータの最大量
- 17. Javaのセッション変数
- 18. ASP.NET:Access.Global.asaxのセッション変数
- 19. iFrameでセッション変数が失われるasp.net
- 20. PHPセッション変数
- 21. Pythonセッション変数
- 22. セッション変数
- 23. ASP.NET MVC 3.0セッション変数の有効期限のリダイレクト?
- 24. asp.netセッションをセッションで破棄する
- 25. ASP.NET - セッション変数が消えています
- 26. WCFセッション - ASP.Netセッション
- 27. コンテキストメニューでのクリック時にセッション変数を設定する方法asp.net
- 28. ASP.NET C#Global_asaxのApplication_Errorはセッション変数にアクセスできない
- 29. Node.js変数をPHPセッション変数に変更する
- 30. なぜ私のセッション変数がASP.NETで空に見えるのですか?
セッションに対するIPの格納は良いですが、同じIPグループ内の(つまり会社またはAOL内の)誰かに対してセッションハッキングの一般的な形式があるという問題はありません。 UserAgentにも同様の懸念があります(共通性がはるかに高い!) – annakata