0
HI의 방지 전송,세션
지금 누군가 세션이 양도 할 수 없습니다 만들 수있는 좋은 방법은, 그래서 사용자가 한 시스템에서 다른 시스템으로 세션 토큰 ID를 복사/이동할 수 있습니까?
감사합니다.
Q
세션
A
답변
1
들어오는 IP 주소의 문자열을 암호화하고 세션에 배치하지 않는 이유는 무엇입니까? 그런 다음 세션 객체로 작업 할 때 세션에서 ip를 해독하고 요청 IP에 대해 유효한지 확인하여 확인할 수 있습니다.
아이디어 만 있습니다. 코드가 필요한지 알려주세요.
0
web.config 파일의 sessionState 노드의 cookieless 속성을 false로 설정하여 쿠키 대신 URL 대신 세션 키를 저장하도록합니다.
- Top 10 Application Security Vulnerabilities in Web.config Files
- MSDN: Understand How the ASP.NET Cookieless Feature Works
쿠키는 완전히 "안전"하지 않습니다 다음은 주제에 (이상) 기사의 몇 가지 있습니다. google the topic을 찾고 있다면 session hijacking이라고합니다.
+0
이것은 OP 질문을 다루는 것 같지 않습니다. 당신이 정확하게 지적했듯이, 세션 토큰 (여기, 쿠키 안에 있음)은 여전히 다른 머신에 복사 될 수 있습니다. OP는 해당 복사본이 이미 발생한 상황, 즉 세션 도용으로부터 보호하는 방법을 처리하는 방법을 묻습니다. – Cheekysoft
관련 문제
- 1. WCF 세션 - ASP.Net 세션
- 2. 세션?
- 3. 세션
- 4. 세션 ID로 세션 데이터에 액세스
- 5. 브라우저/세션 닫기 세션 종료
- 6. PHP 세션 보안 : DB에 세션 저장 vs. 세션 변경 세션 저장?
- 7. ASP.NET 세션 상태 서버와 InProc 세션
- 8. 레일 크루즈 보석, 세션 ID와로드 세션
- 9. 세션 대신 세션 토큰을 사용할 수 있습니까?
- 10. 세션/세션 ID가 둘 이상의 사용자에게 할당되었습니다.
- 11. httpservletrequest - 새 세션 만들기/세션 ID 변경
- 12. asp.net - 세션 - 여러 브라우저 탭 - 다른 세션?
- 13. ASP.NET에서 세션 ID를 사용하여 세션 다시 만들기
- 14. 다른 ASP.NET 세션 재사용 (세션 ID 설정)
- 15. ASP 세션 변수와 ASP.NET 세션 변수
- 16. HTTP 세션 관리/대체 세션 관리 (Java)
- 17. Log4Net을 통한 nHibernate 로깅, 세션 세션 문제
- 18. 세션 ID 별 액세스 세션 정보
- 19. 세션 특정 세션 폐기에 대한 기본 정보
- 20. Facebook 액세스 토큰에서 세션 세션 추출
- 21. PHP의 경우 세션 숨기기 버튼 = 세션
- 22. 세션 복제의 Tomcat 세션 스틱 티
- 23. GetCurrentSession 세션 응용 프로그램을위한 세션 스코핑
- 24. 세션 문제
- 25. 세션 확인
- 26. 서버 세션
- 27. ASP.NET 세션
- 28. 세션 여기
- 29. 세션 데이터가
- 30. 세션 보안?
두 사람 (피해자와 도용자)이 같은 IP 주소를 가진 것처럼 보이기 때문에 사용자가 NAT 방화벽을 사용하는 순간에는 작동하지 않습니다. – slugster