내 ASP.NET 응용 프로그램에서 세션 하이재킹을 막으려하고 Jeff Prosise가이 great post을 발견했습니다. 그러나 그것은 2004 년부터이고 동일한 결과를 수행하거나 합병증을 초래하는 업데이트가 있었는지 궁금합니다. 또한 프로덕션 서버에서이 기능을 사용하는 사람이 있습니까? 그렇다면이 문제로 인해 발생한 문제가 있습니까? 내 응용 프로그램에 영향을 줄 수있는 유일한 문제는 누군가의 IP 네트워크가 단기간에 변경되는 경우입니다. 그러나 이것이 매우 가능성이 있다고 생각하지는 않습니다.Jeff Prosise의 세션 하이재킹 블로그 - 모든 업데이트?
감사
이 세션 경화에 대한 흥미로운 접근 방식이지만 세션 하이재킹을 중지하지 않습니다. 이 시스템은 HTTPOnly Cookies과 같은 문제가 있습니다. 공격자가 피해자의 브라우저에서 xss를 사용하여 요청을 만들 수 있으며 공격자가 세션 ID의 값을 알 필요가 없다는 것입니다.
이 인용은 당신이에 링크 된 기사에서 가져온 것입니다 :
SecureSessionModule 도난 세션 ID
이 막대를 제기를 사용하여 세션을 가로 채 해커 막대를 제기,하지만 당신은 여전히 필요 XSS 및 CSRF 취약점을 패치하십시오.
이것은 길었지만 앞으로 몇 년 동안 점점 더 많은 서버에 영향을 미칠 수있는 문제를 발견했습니다. 생성 된 MAC의 일부는 IP 주소를 사용하여 "."로 나뉘지만 IPv6 주소는 ":"을 사용합니다.
IPv6에 프로덕션 서버가 없지만 최근에 IPv6을 통해 Cassini에 연결하는 개발 컴퓨터를 업그레이드 했으므로 논리적으로 세션 오류가 발생합니다.