如何从诸如Burp Suite之类的工具中阻止会话在ASP.NET Web应用程序中进行劫持?我尝试检查iPadress和Web浏览器详细信息在global.asax文件中进行身份验证,但无法达到解决方案。
重要的是要强调SSL/TLS(HTTPS(不能防止会话ID预测,蛮力,客户端篡改或固定。但是,即使在今天,会话ID披露和捕获是最普遍的攻击向量之一。
为了在ASP.NET中实现会话管理,您应该实现ASP.NET框架和指导。
进行关键交易,请确保您确保有效载荷以检测任何未经授权的操作。
使用https进行安全连接以防止网络嗅探。
使用httponly防止恶意客户端JavaScript访问cookie。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium