세션 하이재킹에 대한 기사를 읽었습니다. 제발 말해 asp.net 세션 얼마나 안전합니다. 사람들은 또한 asp.net 세션으로 세션 하이재킹을 할 수 있습니까? 또한 세션 하이재킹에서 내 응용 프로그램을 막을 수있는 방법을 알려주십시오. 당신은 또한 말해보다 좋은 예제가 있다면 그 사람은 그것을 어떻게 내가 내 asp.net 응용 프로그램을 보호 할 수있
내가 일이나 차트를 설명하는 데별로 좋지 않기 때문에 미리 사과드립니다. 이것은 특정 코드 문제는 아니지만 세션 보안에 대한 일반적인 질문입니다. 가능한 한 많은 잠재적 인 문제를 한꺼번에 없애려고합니다. 나는이 돌봐 생각 : CSRF 세션 고정 세션 예측 내가 할 수있는 세션을 실현 쿠키 도용 세션 을 sidejacking (브라우저 취약점을 통해) 공격
내 ASP.NET 응용 프로그램에서 세션 하이재킹을 막으려하고 Jeff Prosise가이 great post을 발견했습니다. 그러나 그것은 2004 년부터이고 동일한 결과를 수행하거나 합병증을 초래하는 업데이트가 있었는지 궁금합니다. 또한 프로덕션 서버에서이 기능을 사용하는 사람이 있습니까? 그렇다면이 문제로 인해 발생한 문제가 있습니까? 내 응용 프로그램
httpOnly를 사용하여 쿠키를 가져 오는 방법을 찾고 있는데 찾을 수 없습니다. 하지만 다시, Firebug, Add 'N Edit Cookie 등과 같은 브라우저 애드온은 쿠키를 어떻게 얻을 수 있습니까? 공격자가 똑같이 할 수는 없습니까? 내 질문은, 정말, 정말 자바 스크립트를 사용하여 HTTPOnly를 사용하는 요청의 쿠키를 얻는 것이 불가능합니
내가 이해하는 한, 사용자가 스프링 보안에 로그인하면 세션이 무효화되고 새 세션이 만들어집니다. 그래서 http에서 clear sessionID 쿠키를 사용하면 스프링 보안은 새로운 세션 ID '보안'쿠키를 설정해야합니다.이 쿠키는 후속 https 요청에서만 브라우저에서 다시 전송됩니다. '로그인 한'사용자가 https에서 http로 전환 할 때 세션의 추
는 최근에 나는 나의 오류 로그에서 이것을 보았다 (하루 1, 나는 하루에 40K 방문자가) : 그것은 모두를 위해 작동하고 있기 때문에 [22-Sep-2009 21:13:52] PHP Warning: session_start() [function.session-start]: The session id contains illegal characters, v
Windows 통합 인증을 사용하는 ASP.NET 웹 응용 프로그램에서 Windows ID에 연결된 세션입니까? 즉, IWA를 사용하여 IWA에 로그인 한 상태에서 앱에 내 세션에 "물건"이 저장되어있는 경우 세션 아이디로만 액세스 할 수 있습니까? 예를 들어, 악의적 인 사람이 내 세션 ID를 훔칠 수 있지만 내 자격 증명을 훔쳐 내지 못하면 내 세션 항