最近开发的系统在安全测试的时候碰到两个很蛋疼的问题,一个是会话标识未更新,一个是已解密的登陆请求。
会话标识未更新按照百度的结果各种设置cookie过期,session失效都没办法;
已解密的登陆请求也用了传输之前对密码进行加密再传输,server.transfer内部传递参数的方法,ajax异步也用了,但是都不行,appscan照样检测还有;
咨询了安全测试的工程师之后,对方说针对会话标志未更新,我们代码里写的失效等只是让浏览器也就是客户机这边失效,服务器那边其实还是起作用的,而已解密的登陆请求同样,需要在session中放置一个标识符似的参数,每次登陆不管成功失败都要让他失效并更新内容。可能这个也涉及到服务器方面的session操作。
所请请问大家在ASP.NET(C#)中如何能够操作服务器端的session,或者哪位大神有在.NET下修复这两个问题的好的方法,请不吝赐教