Как мы можем предотвратить перехват сеанса в приложении asp.net mvc? Следующие шаги были выполнены тестировщиками для захвата сеанса — OWASP A2. а>.
- Войдите в систему как пользователь с низким уровнем привилегий.
- Войдите в систему как администратор. (в отдельном браузере - с той же машины)
- Скопировано
ASP.Net Session ID
пользователя-администратора - Заменил
ASP.Net Session ID
пользователя low-prev на пользователя admin.
Выполнив вышеуказанные шаги, пользователь с низким уровнем доступа смог получить доступ к административным областям приложения.
- Приложение размещено на
SSL (https)
. - Файлы cookie были установлены на
Secure
иHttpOnly
. - Срок действия файлов cookie истекает
Session_End
иSignout
.
Тем не менее, я могу воспроизвести описанный выше сценарий, используя Fiddler
. Может ли кто-нибудь помочь в решении вышеуказанной проблемы.
Спасибо.