asp.net - ASP.NET中 session 劫持的反制措施

Question

我想采取措施来防止/减轻 session 劫持。因此，我想从内置的 ASP.NET 或自定义组件中了解这些选项。

请注意 session 劫持指的是Forms Auth session和Session State。

我的 ASP.NET 始终对所有页面使用 HTTPS。但是，一旦第三方以某种方式获得 session cookie id， session 就有可能被破坏，例如来自用户硬盘、跨站点脚本攻击和中间人攻击

特别是，我担心 session ID 劫持，因为我的项目一直使用 https

以下是我查看的链接，这些链接是几年前写的:

Foiling Session Hijacking Attempts Jeff Prosise其缺点请引用警告部分。

我在网上找不到太多相关信息，或者与 Jeff 的信息不同。

Answer 1

这里有一些建议:

1. 加盐你的sessionId。这将确保您拥有唯一的 session ID——不过，我很确定默认的 ASP.NET session ID 对您的目的来说足够唯一；但是，为了增加安全性，您可以使用您可以控制或 self 识别的东西。例如，您可以使用 GUID 作为盐 - 您可以根据需要通过更新来控制它。
2. 在字典对象中跟踪用户的 SessionId 和用户 IP 地址。这将使您能够将 session ID 与 IP 地址相匹配，并揭示在用户 LAN 之外发生的任何 session 劫持。显然并非没有缺陷，因为如果用户的计算机或路由器被感染并没有多大关系，但这至少会使攻击者更难完成他们的任务。

不确定如果用户的计算机被感染你会怎么做，但无论你是否增加防御措施，这种风险都存在。