会话标识未更新与已解密登陆请求安全BUG的修复问题？

ly8261861 2014-10-21 11:16:02

最近开发的系统在安全测试的时候碰到两个很蛋疼的问题，一个是会话标识未更新，一个是已解密的登陆请求。
会话标识未更新按照百度的结果各种设置cookie过期，session失效都没办法；
已解密的登陆请求也用了传输之前对密码进行加密再传输，server.transfer内部传递参数的方法，ajax异步也用了，但是都不行，appscan照样检测还有；
咨询了安全测试的工程师之后，对方说针对会话标志未更新，我们代码里写的失效等只是让浏览器也就是客户机这边失效，服务器那边其实还是起作用的，而已解密的登陆请求同样，需要在session中放置一个标识符似的参数，每次登陆不管成功失败都要让他失效并更新内容。可能这个也涉及到服务器方面的session操作。
所请请问大家在ASP.NET（C#）中如何能够操作服务器端的session，或者哪位大神有在.NET下修复这两个问题的好的方法，请不吝赐教

...全文

1478 10 打赏收藏转发到动态举报

写回复

用AI写文章

10 条回复

切换为时间正序

请发表友善的回复…

发表回复

huishao_ljh 2017-07-04

打赏
举报

你QQ多少，我也加你

laoyulone 2016-12-29

打赏
举报

1.将页面控件从<Form runat='server'>中拿出来 2.使用html控件，不要用asp.net 控件 3.使用ajax，在传输前进行密码加密

緣木求魚 2016-03-10

打赏
举报

同问，到底最后怎么解决呢。。。。

u010360404 2016-02-15

打赏
举报

引用 6 楼 ZhouJF2088 的回复:

我也遇到了这样的问题。。怎么办？？你后来是怎么解决的呀？？、大神请教下。。你QQ多少我加你。。

我也遇到了、大神你解决了么？你QQ多少、我也加你。

ZhouJF2088 2016-01-14

打赏
举报

我也遇到了这样的问题。。怎么办？？你后来是怎么解决的呀？？、大神请教下。。你QQ多少我加你。。

ly8261861 2014-10-22

打赏
举报

刚刚试过在page_load方法用中 protected void setSession() { string token = EncryptAndDecrypt.getRandomNum(6,30).ToString(); this.token.Value = token; Session["WebToken"] = token; } 方法来设置一个session然后登陆的时候比对，登陆完成不管成功与否再次设置Session["WebToken"]的方式结果APPSCAN扫描结果依然存在已解密登陆请求原因还是没有通过SSL发送，这实在是让无语。

ly8261861 2014-10-22

打赏
举报

已解密登陆请求昨天咨询安全测试工程师，对方给出的解决方案与2楼给出的防止CSRF解决方案类似。我通过ajax请求发送的登陆信息，他检测到的密码是个空值，但是令人厌恶的是在APPSCAN仅仅认为没有通过SSL发送就存在这个漏洞，让人无法理解。同时安全测试工程师认为，SSL方式虽然能解决这个问题，但是他确可能导致另外的更多的问题，所以让我们不要采用，我真心被他弄的蛋疼了。而会话标志未更新，这个确实是必须改变cookie的值，但是问题这个cookie是根据页面的sessionID来生成的。我曾经尝试过先给这个cookie另外赋值一个字符串，然后将sessionSession.Clear(); Session.Abandon();掉，然后重新读取sessionid，结果发现这个ID没有发生变化，那么导致的结果应该是再次检测也不能避免这个BUG。望知道解决这个问题解决方案的大神来指点下。

ly8261861 2014-10-22

打赏
举报

顶起来，没人来帮忙吗？

winnowc 2014-10-21

打赏
举报

会话标志未更新这个有两种说法：一是在登录和注销时都必须让客户端cookie的值改变，二是防止CSRF，就是除了cookie外，还需要另一个token，一般是一个form隐藏字段，值随机生成并记录到session，页面提交时就会提交这个字段，这个值和session中一致才能继续。（ajax还需要另外的办法）已解密的登陆请求一般都是说必须用https的方式来进行登录。

ly8261861 2014-10-21