我写了一个ASP.Net MVC应用程序,它将Session信息存储在数据库中,但我可以看到会话ID存储在浏览器cookie“ASP.NET_SessionId”中。这是安全隐患吗? id可以用来破解/窃取用户的会话吗?
答案 0 :(得分:0)
cookie中的会话ID用于将无状态Web请求与服务器上的存储状态相关联。
关于安全性我不认为ASP.NET_SessionId包含身份验证详细信息 - 即.ASPXAUTH(如果您使用的是内置的.NET成员资格提供程序)。我认为在某些情况下可以用来窃取用户会话。
关于这一点的一个很好的解读是特洛伊亨特的博客,特别是这篇文章Anatomy of an insufficient transport layer protection attack,他的数据包嗅探了麦当劳中wifi用户的cookie并以其身份登录。