我的网络应用程序只能通过SSL运行,并在用户成功使用用户名和密码登录后为每个用户设置一个有时间限制的cookie。系统中最大的弱点是攻击者利用现有用户的cookie,以及猜测会话ID GUID。
我知道如何应对第一种弱点,但我想知道我需要担心多少攻击者根据之前获得的GUID猜测会话ID GUID的机会?在这种情况下,Web服务器是Windows 2003,GUID是使用.NET 3.5生成的。
我知道如何应对第一种弱点,但我想知道我需要担心多少攻击者根据之前获得的GUID猜测会话ID GUID的机会?在这种情况下,Web服务器是Windows 2003,GUID是使用.NET 3.5生成的。