某个黑客能从用户那里窃取一个网络浏览器cookie,并用该名称登录网站吗?

读到这个问题,,
不同的用户在.ASPXANONYMOUS中获得相同的cookie值

我开始思考,寻找一个解决方案,如果有人真的可以用某种方式窃取cookie,然后把它放在他的浏览器上,然后以管理员的身份登录

您知道表单身份验证如何确保即使cookie被盗,黑客也无法在实际登录中使用它吗

是否有其他替代自动防御机制

有没有可能偷一块饼干然后
作为管理员进行身份验证

是的,这是可能的,如果表单验证cookie未加密,则有人可能破解其cookie以授予其提升的权限,或者如果不需要SSL,则复制其他人的cookie。但是,您可以采取以下步骤来缓解这些风险:

在system.web/authentication/forms元素上:

  1. requireSSL=true。这要求cookie只能通过SSL传输
  2. slidengexpiration=false。如果为true,则可以重新激活过期票据
  3. cookieless=假。不要在您试图加强安全性的环境中使用无cookieless会话
  4. enableCrossAppRedirects=false。如果为false,则不允许跨应用处理cookie
  5. 保护=全部。使用machine.config或web.config中指定的机器密钥加密和散列表单验证cookie。此功能将阻止某人攻击自己的cookie,因为此设置告诉系统生成cookie的签名,并且在每个身份验证请求中,将签名与传递的cookie进行比较

如果您愿意,您可以在会话中添加一些身份验证信息,例如用户用户名的散列(绝不是纯文本中的用户名或密码),从而增加一点保护。这将要求攻击者同时窃取会话cookie和表单身份验证cookie

发表评论