ASP.NET Session Fixation 漏洞修正問題

asp.net 資安 session fixation

a068305657 2022-08-28 13:35:45 ‧ 976 瀏覽

分享至

請問 Session Fixation漏洞修正方法是登入成功後重置SessionID 沒錯吧?
我是用Asp.net開發網頁，那我成功登入後是要把 ASP.NET_SessionID這個session重置嗎?
但我再登入成功後將ASP.NET_SessionID重置的話，帳號就會被登出，那這樣的話應該要怎麼做呢?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

水無痕

iT邦新手 3 級 ‧ 2022-08-30 08:05:53

登入時，先清 Session Cookie ，再做登入動作

另外，登出後也要清 Session Coookie !

簡來說就是，確保以下二個狀態

登入前與登入後的 Session 要不一致 !
登出前與登出後的 Session 要不一致 !

回應 2
分享
檢舉

a068305657 iT邦新手 5 級 ‧ 2022-08-30 09:23:03 檢舉

請問是點擊登入後先進行 Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId",""))先將ASP.NET_SessionId 清除嗎? 但這樣會變成沒辦法登入

水無痕 iT邦新手 3 級 ‧ 2022-08-30 12:42:40 檢舉

通常是 Login 的當下要記錄東西至 Session 才有此困擾 !

登入狀態請使用 Forms Authentication !
可以避免很多問題 !

可以用 Redirect 方式閃過當次的 Request，等下次 Request 再記錄東西至 Session 中 !

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22202 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙