私は、管理者とビジネスメンバーのセッションを追跡するためにセッション変数を使用するASP.NETサイトを持っています。管理者がURLをコピーして電子メールで貼り付けると、ログインする前にログインしていないユーザーがクリックすると、管理者としてログインしたサイトにリダイレクトされるバグが発生しました。これは非常に大きなセキュリティ問題です。ユーザーがドメイン外からサイトに誘導されているかどうかを確認してから、新しいメンバーとしてサイトにリダイレクトする方法を教えてください。私のWebサイトへのトラフィックの起点を特定する方法
答えて
これは、ASP.NETがURLの一部として送信されるセッションIDを可能にすることを私に驚き。これはひどく不安です。
気づいたとおり、セッションIDをURLの一部として含めると、コピーおよびペーストされたURLにはそのセッションデータが含まれます。この問題を回避して、ユーザーがリンクをクリックしているか、実際にサイトをトラバースしているかどうかを判断できますが、これらの方法のいずれも悪意のあるユーザーによって無効になる可能性があります。
ユーザーが悪意のあるユーザーにURLを送信しないと主張することがあります。まず第一に、ユーザーは多くのばかげたことを行い、最も確実にURLをコピーして他の人に貼り付けます。次に、URLはすべての場所に記録され、これらのログにアクセスできるすべてのユーザーが利用できるようになります。
ASP.NETでセッションを処理する正しい方法は、コピー/貼り付けやログに記録されない場所から転送されないセッション状態のCookieを使用することです。 thisページによれば、ASP.NETはURLベースのセッションではなくクッキーを使用するようにデフォルト設定する必要があります。
URLベースのセッションをハッキングするのではなく、Cookieベースのセッションを使用するようにアプリケーションを設定します。
セッション変数とその作成者ipの間にマップを作成できますか?そうであれば、セッション変数の各使用がその作成者のIPによって実行されることを検証することができます。 ipsが異なる場合は、新しいメンバとしてリダイレクトする
"セッション識別子をリサイクルしないようにアプリケーションを設定することで、セッションデータを共有する機会を減らすことができます。これを行うには、sessionState構成要素のregenerateExpiredSessionId属性をこれは期限切れのセッションIDでcookielessセッション要求が行われたときに新しいセッションIDを生成します。
- 1. linuxの特定のポートへのトラフィックを知る方法
- 2. %のトラフィックを別のWebサイトにリダイレクトする方法は?
- 3. サーバーへのSecure Solr特定のWebサイトへの文書化
- 4. 特定のIPから異なるOriginへの直接AWSトラフィック
- 5. AzureのWebサイトで特定のWebプロジェクトを展開する
- 6. asp.netのWebサイトでユーザーの特権を作成する方法
- 7. 特定のWebサイトを一時的にブロックするプログラム的な方法?
- 8. Chrome Dev Toolsの特定のドメインからのトラフィックを表示する方法
- 9. 特定のサイトとの間でトラフィックを特定のNICにどのように誘導しますか?
- 10. 起動デバイスを特定する方法
- 11. 私のw3wpプロセスの再起動の原因を特定する方法
- 12. C#WebClient()Webサイトの特定の部分をダウンロードする
- 13. QtWebKit 2.2特定のWebサイトをロードするときのセグメンテーション
- 14. UINavigationControllerでルートビューコントローラの起点を設定する方法は?
- 15. axis2 Webサービスで特定のWebサービスメソッドスタブコードを取得する方法
- 16. サイトに複数のWebサイトがある場合のiis 7.5のデフォルトWebサイトの設定方法
- 17. PHPコマンドを使用してフラッシュファイル内の特別なWebサイトへのリンクを防止する方法
- 18. XMLHTTPRequestの外部Webサイトを指定する方法
- 19. asp.net MVCでWebサイトの設定を初期化する方法
- 20. 私のBlogSpotページを私のWebサイトのページにプルする方法
- 21. SharePoint 2010:Webスコープの機能を特定のサイト定義に限定する
- 22. 株価データの転換点を特定する方法
- 23. 特定のWebサイトでスパン値を取得する
- 24. web.config特定のフォルダからWebサイトをロードする
- 25. VBScript/IIS - 特定のWebサイトのASP.NETバージョンを自動的に設定する方法
- 26. 特定の形状の境界点を見つける方法
- 27. アンドロイドの特定の点から特定の方向(スワイプ方向)にテキストを表示する方法
- 28. MVC Webサイト - 静的ファイルへのアクセスを防ぐ方法
- 29. サーバーの起動時に特定のSpring Beanを起動する方法
- 30. wp7の特定の時点でScrollViewerのスクロールバーを設定する方法は?