避免 Web 应用程序的会话劫持

Question

我阅读了有关会话劫持的文章，并想了解更多与之相关的信息。目前我的 Web 应用程序是在 ASP.NET 中开发的，正在使用 Cookieless =true 模式进行会话状态。我们使用 HTTPS，这是一种安全连接，可以减少会话劫持。我知道当我们使用 Cookieless 时，会话 ID 嵌入在 URL 中，如果用户将此 URL 传递给某人，并且如果会话仍然存在，其他用户将能够登录，有时这可能会很危险。所以只是想知道 HTTPS 是否足够，或者我应该采取一些措施来保护我的网络应用程序。

Answer 1

HTTPS 仅防止在客户端和服务器（或服务器和客户端）之间抓取和更改数据。如果用户与朋友（或黑客）共享链接，它对您没有帮助。

作为一个选项，您可以在会话启动时将客户端 IP 保存在会话变量中，并检查每个请求当前 IP 和会话中的 IP 是否相同。这将提供更多的安全性。

Answer 2

如果客户端 IP 发生变化，您可以结束会话并强制他们重新登录。

Answer 3

会话劫持可能通过多种方式发生。 HTTPS 可防止嗅探，但 XSS 是迄今为止最常见的攻击。您可以使用 httponlycookies 来防止访问 document.cookie 的 xss 攻击，但随后攻击者可以“利用”会话 xmlhttprequest（Sammy 蠕虫对 MySpace 执行了此操作）。说到会话骑行，您应该查看 CSRF。如果您将会话 ID 存储在数据库中，甚至 SQL 注入也可用于劫持会话，但并非所有 Web 应用程序都会这样做。

使用 httponlycookies，确保它们仅是 https，所有内容都使用 https。 不要使用asp.net的“cookiesless”会话，这会使您容易受到的攻击会话固定。会话 ID 应始终使用 cookie 进行传递，切勿以 GET 或 POST 方式传递。您可能需要考虑使用 STS。

Answer 4

还要考虑到您的会话 ID 可能会在 HTTP_REFERER 标头中向外部人员泄露。如果用户点击在同一浏览器窗口中打开的链接，则 HTTP_REFERER 将包含最后访问的页面的 URL（包括 URL 参数中的会话 ID）。
如果链接指向您的服务外部，这将是一个问题。