security - asp.net core 身份 cookie 重放攻击

Question

我正在尝试防止对使用默认身份的 asp.net 核心应用程序进行有效的身份验证 cookie 重放攻击。

我已经尝试了一些东西，但似乎没有任何效果。用户从 session 注销后，我可以看到我仍然可以使用旧 cookie 再次重放经过身份验证的请求。

有什么办法可以避免这种情况吗？

谢谢

Answer 1

ASP.NET Core 不跟踪服务器端的 session 。所有 session 信息都包含在 cookie 本身中(参见 this issue)。

如果你想防止重放攻击，你需要自己跟踪 session 。一个方便的方法是实现一个 ITicketStore(参见 SessionStore)。提示:如果您不希望您的用户经历注销，请确保您的商店在 IIS 重启后仍然存在。

在这样做之前，您当然需要评估重放攻击是否对您的设置构成真正的威胁。引用 this article :

If you make sure your site is only ever served over HTTPS, and your cookies are set as "secure", "same site", and "HTTP only", then an attacker will not be able to obtain the cookie value unless they have managed to perform a man-in-the-middle (MitM) attack. And if they've done that, you've got much bigger problems.

和:

Another concern would be if their computer or browser is compromised by malicious code. But again, if that happens, they've got bigger problems to worry about.