是否可以破解某人的 session 变量并创建新的影子用户?
避免此类意外的常见方法是什么?
SSL证书安装还是....?
最佳答案
简短的回答......这取决于。
ASP.NET 中的 session 可以以多种方式存储(InProc/SQL Server/State Server)等...另一件需要注意的是客户端 session 是如何维护的(查询字符串值、cookies 等...)
正如这个答案中的海报所暗示的那样
Can we hack a site that just stores the username as a session variable?
当您对用户进行身份验证并将其姓名存储在 Session 中时,您可以做的一件事是还存储一些有关他们的其他信息。例如他们的 UserAgentString、他们的 IP 地址以及如果不同的 IP 或 UserAgentString 试图与 session 交互,您可以使其无效。
关于asp.net - 破解 Asp.NET 中的 session 变量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/955130/