Oturum açma ekranının arkasında bazı yönetimsel işlevleri olan bir C# projem var.Oturum kapatma sonrasında yetkilendirmenin yeniden kullanılması nasıl engellenir
Son bir öneride, bir saldırı potansiyeli ile karşılaştık: kullanıcı bir form gönderirse, çıkış yapar ve form yazısı tekrarlanır (burp veya benzer bir araç kullanılarak) sunucu hala oturum açmış olarak görür. ve doğru cevap verir.
Tüm 'Yönetici' denetleyicisi, uygun roller ayarlanmış [Authorize]
olarak ayarlanmıştır. Oturumu kapattığımda,
numaralı telefonu arayın ve kullanıcıyı bir başlangıç sayfasına yönlendiriyorum.
Okuduğum her şey, bunun olmasını önlemek için bunların hepsinin olması gerektiğini gösteriyor. Ben aşağıdakileri yapabilirsiniz söyledi: my yönetim alanında
- Log
- Çıkış
- önceki yanıtına uygun geğirmek bir sunucu yanıtını görün eder ('.ASPXAUTH' çerez içerir) geğirmek JSON POST tekrarlayın
Bunu önlemek için ne yapabilirim?
Yeniden oynatma saldırılarını önlemek için genelde yanıt yanıtı kimlik doğrulamasını nonce ile kullanabilirsiniz. –
'Session.Abandon' sunucu tarafı oturumunu temizlemeli; Bu işe yaramaz. – SLaks
@SLaks: Ben de okudum. Yine de, hala gerçekleşir. Testi kendim yaptım. – Jeff