asp.net – 一些黑客可以从用户窃取cookie,并在网站上使用该名称登录？

阅读这个问题

different users get the same cookie value in aspxanonymous

并搜索一个解决方案，我开始思考，如果一个人可能真的偷了cookie有一些方式，然后把它放在他的浏览器和登录让我们说作为管理员。

你知道表单认证如何保证即使cookie被偷了，黑客也没有实际登录使用它？

或者你知道任何其他自动防御机制吗？

谢谢先进。

解决方法

Is it possible to steal a cookie and
authenticate as an administrator?

是的，有可能，如果表单认证cookie没有加密，有人可以破解他们的cookie给他们提高的权限，或者如果不需要SSL，复制别人的cookie。但是，您可以采取措施减轻这些风险：

在system.web / authentication / forms元素上：

> requireSSL = true。这要求cookie只通过SSL传输
> slidingExpiration = false。为true时，可以重新激活过期的凭单。
> cookieless = false。不要在您试图强制执行安全性的环境中使用无Cookie会话。
> enableCrossAppRedirects = false。如果为false，则不允许跨应用处理Cookie。
> protection = all。使用machine.config或web.config中指定的计算机密钥加密和散列Forms Auth cookie。此功能可阻止某人窃取自己的Cookie，因为此设置会告知系统生成Cookie的签名，并在每个身份验证请求中将签名与传递的Cookie进行比较。

如果你想要，你可以通过在Session中添加一些认证信息来添加一点保护，比如用户的用户名哈希(用纯文本的用户名和他们的密码)。这需要攻击者窃取会话cookie和Forms Auth cookie。

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!