Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我如何防止在 asp.net Web 应用程序中从 burp 套件之类的工具中劫持会话?我尝试在 global.asax 文件中检查 ipAdress 和 Web 浏览器详细信息以进行身份验证,但无法找到解决方案。
需要强调的是,SSL/TLS (HTTPS) 不能防止会话 ID 预测、暴力破解、客户端篡改或固定。然而,即使在今天,从网络流量中泄露和捕获会话 ID 仍然是最流行的攻击媒介之一。
为了在 ASP.NET 中实现会话管理,您应该实现 ASP.Net 框架和指南。
对于关键交易,请确保您保护有效负载以检测任何未经授权的操作。
使用 HTTPS 进行安全连接以防止网络嗅探。
使用 httpOnly 来防止恶意客户端 javascript 访问 cookie。