Oturum sabitleme saldırıları hakkında çok şey okudum ve karşılaştığım en popüler çözümler, kullanıcı oturum açtığında ve GUID kullanarak ek bir tanımlama bilgisi oluştururken SessionID değerini değiştiriyor SessionID'ye "aittir" kullanıcı doğrulamak için.MVC 5'teki Oturum Sabitleme Saldırıları hala bir sorun mu var
Benim sorum şu: Yeni bir SessionID oluşturulduğundan emin olmak için SessionID çerezini (ASP.NET_SessionID) silmek yeterli değil mi? MVC 5'te, kullanıcı ek bir şifreli kullanıcıda oturum açtığında, her bir istek üzerine kimliği doğrulamak için Identity'nin kullandığı tanımlama bilgilerini (AspNet.ApplicationCookie) oluşturduğunu iddia eder. Ek "GUID çerez" gereksiz görünüyor.
Aslında, ilk MVC uygulaımı yazarken bir .NET masaüstü uygulaması geliştiricisiyim ve öğrenme eğrisi biraz dik oldu…
Yardımlarınız için teşekkür ederiz.
SessionIDManager Manager = new SessionIDManager();
string NewID = Manager.CreateSessionID(Context);
string OldID = Context.Session.SessionID;
bool redirected = false;
bool IsAdded = false;
Manager.SaveSessionID(Context, NewID, out redirected, out IsAdded);
Response.Write("Old SessionId Is : " + OldID);
if (IsAdded)
{
Response.Write("<br/> New Session ID Is : " + NewID);
}
else
{
Response.Write("<br/> Session Id did not saved : ");
}
Destek bağlantısını:
dürüst sadece Oturum Sabitleme saldırılarla ilgili öğrendim ama bu senin sorunun cevabı gibi görünüyor. * Bir kullanıcıyı doğrularken yeni bir oturum kimliği alamaz ve mevcut bir oturum kimliğini * kullanabilmeyi mümkün kılar. Aklımda bu, yeni oluşturulan çerezin de aynı Oturum kimliğine sahip olabileceği anlamına geliyor. Yine de yanılıyor olabilirim. – Jabberwocky
[Sitemi oturum sabitlemesinden nasıl koruyabilirim?] 'In olası kopyası (https://stackoverflow.com/questions/15021431/how-to-protect-my-site-from-session-fixation) – garfbradaz
@ I.Am. Bu makaleyi okumanın size yardımcı olacak https://www.codeproject.com/Articles/1116318/Points-to-Secure-Your-ASP-NET-MVC-Applications – Saineshwar