gpt4 book ai didi

asp.net - 为什么 ASP.NET 接受外部创建的 session 标识符?

转载 作者:行者123 更新时间:2023-12-04 17:28:54 25 4
gpt4 key购买 nike

我有一个使用标准 SQL 成员资格提供程序的 ASP.NET 3.5 网站。

应用程序必须先通过 IBM Rational AppScan,然后才能推送到生产环境。

我收到错误:
严重性:高
测试类型:应用
易受攻击的 URL:http://mytestserver/myapp/login.aspx
修复任务:不接受外部创建的 session 标识符

我能做些什么来解决这个问题?

我正在使用 SQL 成员资格提供程序。这有关系吗?我也在使用标准登录控件。我已经关闭并隐藏了“记住我”。

谢谢。

最佳答案

这不是一个漏洞(我真的不喜欢 AppScan 因为它的误报 - 我不得不解释 CSRF cookie 不需要链接到我的小开源项目上的 session 的次数越来越烦人) .

在这种情况下将发生的所有事情是第一次将任何内容存储在 session 状态中并创建 session 标识符,一个新 session 将在服务器上打开,其中没有任何内容。如果您担心 session 固定,那么您可以在身份验证后清除 cookie。

Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

但是对于表单例份验证,身份验证详细信息不会保存在 session 中,因此固定根本不是问题。

坦率地说,如果您必须在没有任何人评估结果是否为误报的情况下通过安全扫描,那么这是一个完全不同的问题。

关于asp.net - 为什么 ASP.NET 接受外部创建的 session 标识符?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1323337/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com