0
어떻게 내가 버프 수트 같은 도구에서 asp.net 웹 응용 프로그램의 세션 하이재킹을 방지 할 수 있습니까? global.asax 파일에서 인증을 위해 ipAdress 및 웹 브라우저 세부 정보를 확인했지만 해결책에 도달 할 수 없었습니다.asp.net 웹 응용 프로그램의 트렁크 스위트와 같은 도구에서 세션 하이재킹을 방지하는 방법은 무엇입니까?
A
답변
0
안전한 연결을 위해 HTTPS를 사용하여 네트워크 스니핑을 방지합니다.
httpOnly를 사용하여 악성 클라이언트 측 JavaScript가 쿠키에 액세스하는 것을 방지합니다.
0
SSL/TLS (HTTPS)는 세션 ID 예측, 무차별 대항력, 클라이언트 쪽 조작 또는 고정에 대해 보호하지 않는다는 점을 강조하는 것이 중요합니다. 그러나 세션 ID 공개 및 네트워크 트래픽 캡처는 오늘날까지도 가장 널리 퍼진 공격 경로 중 하나입니다.
ASP.NET에서 세션 관리를 구현하려면 ASP.Net 프레임 워크와 지침을 구현해야합니다.
중요 거래의 경우 무단 조작을 감지하기 위해 페이로드를 보호해야합니다.
감사합니다. 그러나 세션 하이재킹의 기회를 최소한도 읽을 수있는 다른 방법이 있습니까? –
많은 세션 하이재킹 벡터가 있습니다. 네트워크 스니퍼를 방지하려면 HTTPS를 사용하십시오. 사람들은 웹 사이트에 악의적 인 자바 스크립트를 삽입하여 세션 토큰을 얻을 수도 있으므로 httpOnly를 사용하면 클라이언트 사이드 자바 스크립트가 쿠키에 액세스 할 수 없습니다. – DiderDrogba344
확인. 덕분에 DiderDrogba344 –