读到这个问题,
Different users get the same cookie - value in .ASPXANONYMOUS
并寻找解决方案,我开始思考,如果有人真的可以通过某种方式窃取 cookie,然后将其放在他的浏览器上并以管理员身份登录 .
您知道表单例份验证如何确保即使 cookie 被盗,黑客也不会在实际登录中使用它吗?
还有其他替代的自动防御机制吗?
最佳答案
Is it possible to steal a cookie and authenticate as an administrator?
是的,如果 Forms Auth cookie 未加密,则可能有人会破解他们的 cookie 以赋予他们更高的权限,或者如果不需要 SSL,则复制其他人的 cookie。但是,您可以采取一些措施来降低这些风险:
在 system.web/authentication/forms 元素上:
如果您愿意,您可以通过在 Session 中放置某种身份验证信息来添加一点保护,例如用户用户名的哈希(绝不是纯文本的用户名或密码)。这将要求攻击者窃取 Session cookie 和 Forms Auth cookie。
关于asp.net - 某些黑客能否从用户那里窃取 Web 浏览器 cookie 并在网站上使用该名称登录?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2498599/