2

ASP.NET アプリケーションの 1 つで IBM AppScan を使用した最近のセキュリティ スキャンでは、次の中程度の脆弱性が報告されています。

セッション ID が更新されていません
重大度: 中
リスク: 顧客のセッションと Cookie を盗んだり操作したりする可能性があります。これは正当なユーザーになりすますために使用される可能性があり、ハッカーがユーザー レコードを表示または変更したり、そのユーザーとしてトランザクションを実行したりできる
原因:安全でない Web アプリケーションのプログラミングまたは構成。

さまざまなスレッドが同じことを話しているのを見つけ、提案された解決策も見つけました。ただし、そのKB 記事では、 Microsoft はセッション ID の再利用がどのように役立つかを説明しており、同じ記事ではセッション ID の再利用に関するリスクについては言及していません。セッション識別子 |にもあります。MSDNでは、SessionID 値以外のリスクは言及されておらず、Cookie または URL の一部としてクリア テキストで送信されます。

ここでの私の質問は、リスクは実際の脆弱性/セッション固定攻撃の可能性なのか、それとも誤検知のリスクなのかということです。

4

2 に答える 2

0

トランスポート メディアが保護されていない場合、 Cookie を使用すると、常にある程度の脆弱性が生じます。

これは、誰かがセッション Cookie やフォーム認証 Cookie、その他の Cookie を盗聴した場合に何が起こるかを詳しく説明できることを意味します。

それが ASP.NET 固有でセッション Cookie 固有である理由が思いつきません。また、私は彼らがここで何を意味するのかよくわかりません

[...] セッションと Cookie を盗む、または操作する

まず、「または」。セッションを操作するには、まずセッションを盗む必要があります。次に、「と」。Cookie を操作することはできません。盗むことしかできません。

むしろこうあるべき

Cookie を盗み、セッションを操作する。

このような警告への対応として、次のことを確認する必要があります。

  • クッキーが発行された後、通信は常に保護されます
  • ユーザーがログアウトまたはブラウザを閉じると、Cookie が適切に破棄されます (永続的な Cookie はありません)。
于 2014-01-16T08:01:32.667 に答える