Asp.net - 使用SSL防止Cookie重播攻击
问题描述:
我期望将SSL放置到位以防止Cookie重播攻击我们的网站。Asp.net - 使用SSL防止Cookie重播攻击
该网站正在使用.NET窗体身份验证。我只需要为登录页面启用SSL,还是需要安全的表单身份验证背后的每一页?
感谢
答
您将需要启用SSL用于每页面,浏览器被指示发送身份验证票的cookie。默认情况下,这意味着您的网站上的每个页面都会显示页面,但在向浏览器写入Cookie时,可以指示它只通过HTTPS发送或将其限制为某些路径。
但总的来说,这意味着SSL会保护您网站上的每个页面,而不仅仅是您的登录页面。
答
.net网站transfer non only the viewstate but any cookies back to the server回传。这会影响您的安全性,因为使用firesheep(或类似工具)的用户可以轻松获取身份验证Cookie,而不是登录,但是当用户通过按钮回发或通过Ajax事件将几个页面事件添加到应用程序中时。
如果您有权访问IIS,则不仅可以启用SSL,还可以使用but force it。