セキュリティの脆弱性テスト中に、ユーザーがシステムに正常にログインした後、クライアントはセッション ID、特に ASP.NET_SessionID Cookie 値を変更するようにアプリケーションに要求しました。これにより、セッションIDが変更されたときにsession_endイベントが発生し、セッション(システム)が再起動され、ログインページに再びリダイレクトされるセッションの固定がおそらく解決される可能性があります。これをすべて引き起こさずにセッション ID を変更する方法はありますか?
回避策を提案してください。
素晴らしい質問です。セッションの固定化を防ぐためにセッション ID を変更することについて話すとき、通常は、セッション ID を知っているだけでセッションを引き継ぐことができる Java フレームワークで発生する脆弱性を念頭に置いています。
ただし、ASP.NET は別の獣です。ASP.NET には、セッションを引き継ぐために必要な 2 つの要素があります。それは、sessionId と ASPXAUTH Cookie です。グーグルで検索すると、セッション修正の可能性がまだあるという不当な主張が見つかりますが、誰もそれらを悪用する方法を示していないように見えるため、私は確信が持てません. それが悪用される可能性があるという証拠に私が見つけた最も近いものは、このブログです、控えめに言っても洞察に満ちています。このブログでは、ASP.NET の実装が不十分であることを特定しています。フレームワークは、sessionId と ASPXAUTH が同じユーザーに関連付けられていることをチェックしていません (開発者がこのチェックを明示的に追加しない限り)。しかし、それは悪用可能ですか?開発者がセッション固定よりも悪い悪用を許してしまう何か間違ったことをした場合、それが悪用される可能性があるケースを考えることはできますが、それ以外の場合は疑わしいと思います。
間違いなく、より多くの研究が必要なトピックです。あなたのニーズに対して私の回答が遅すぎることは承知していますが、とにかくフォローアップすると思いました. 結論: ログイン後に sessionId を変更しても、追加の保護は提供されないようです。あなたのペンテスターが別の考えを持っているなら、私に説明してもらいたいと思います。