내가 작업하고있는 웹 응용 프로그램은 세션을 제대로 파괴하지 않으므로 탈취가 매우 쉽습니다. 로그 오프하고 쿠키를 입력 할 수 있습니다 .EpiserverLogin 및 .ASPXRoles 및 im을 응용 프로그램 내부에 다시 넣을 수 있습니다. 세션을 삭제하기위한 현재 코드는 다음과 같습니다.세션을 파괴하는 방법 ASP.NET/Episerver
HttpContext.Current.Session.Clear();
HttpContext.Current.Session.Abandon();
HttpContext.Current.Session.RemoveAll();
HttpContext.Current.User = null;
System.Web.Security.FormsAuthentication.SignOut();
내가 잘못하고있는 것에 대한 도움은 크게 강조됩니다!
편집 : 여기 내 Web.config의
<authentication mode="Forms">
<forms name=".EPiServerLogin" loginUrl="CustomLogin.aspx" timeout="50" />
</authentication>
내 인증이다 그리고 이것은 내가 로그인 사용자를 확인하는 방법입니다
var validated = Membership.ValidateUser(username, password);
if (validated)
{
FormsAuthentication.SetAuthCookie(username, true);
Response.Redirect("/");
}
web.config의 및 섹션을 게시하십시오. –
logincode 및 인증 모드로 업데이트했습니다 – Jinxen
"매우 납치되기 쉽습니다"라는 진술을 백업 할 수 있습니까? 어떤 유형의 가로 채기에 대해 이야기하고 있습니까? 세션 하이재킹 또는 로그인 도용 (FormsAuth-cookie)? – sisve