注销后 ASP.Net 会话未失效

发布于 2024-08-10 22:23:22 字数 386 浏览 3 评论 0原文

我的登录页面中有一个 ASP.Net 应用程序，

FormsAuthentication.SignOut 
Session.Abandon() 
Session.Clear()

但 Appscan 正在获取 ASPXAUTH cookie 值，然后在注销后能够重新注入 cookie 值以获得对受保护页面的访问权限。

Microsoft 已承认存在问题，但仅提供建议而不是修复 - http://support.microsoft.com/kb /900111

有人可以提供如何解决此问题的示例吗

原文

I have a ASP.Net application in my login page I call

FormsAuthentication.SignOut 
Session.Abandon() 
Session.Clear()

however the Appscan is taking the ASPXAUTH cookie value then after logout is able to re-inject the cookie value to gain access to protected pages.

Microsoft has acknowledged a problem but only offers advice not a fix - http://support.microsoft.com/kb/900111

Can someone provide examples how to fix this issue

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

金兰素衣 2024-08-17 22:23:22

一种选择是拥有一个 UserSession 表，并在用户登录时向该表中插入一条记录。当您注销时，请删除该条目或将其标记为无效。在安全页面上，验证登录用户是否存在 UserSession，如果不存在，则重定向到登录页面。

回复收藏 0 原文

注定孤独终老 2024-08-17 22:23:22

在登录时设置会话值，在注销时清除它，并在每次访问安全页面时检查它。会话值不会发送到客户端，因此客户端/攻击者无法操纵它。

退出时未清除会话值的演练：
用户访问登录页面 - 生成视图状态
中间人黑客收集视图状态

用户提交登录表单 - 生成身份验证 cookie
中间人黑客收集身份验证 cookie

用户注销 - 服务器清除用户 cookie
中间人黑客继续完全不受阻碍地使用以前的凭据
游戏结束

演练，退出时清除会话值：
用户访问登录页面 - 生成视图状态
中间人黑客收集视图状态

用户提交登录表单 - 生成身份验证 cookie
中间人黑客收集身份验证 cookie

用户注销 - 服务器清除用户 cookie 并将其内部会话标志值设置为 null
中间人黑客继续使用以前的凭据，但因为他正在使用的会话现在的值为空，服务器重定向到登录页面。
赢！

回复收藏 0 原文

~没有更多了~

关于作者

兲鉂ぱ嘚淚

暂无简介

0 文章

0 评论

23 人气

关注发私信

linfzu01

文章 0 评论 0

关注

§对你不离不弃

文章 0 评论 0

关注

可遇━不可求

文章 0 评论 0

关注

枕梦

文章 0 评论 0

关注

qq_3LFa8Q

文章 0 评论 0

关注

JP

文章 0 评论 0

友情链接

文江博客

注销后 ASP.Net 会话未失效

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（2）

关于作者

相关话题

热门标签