1
Веб-приложение, над которым я работаю, не уничтожает сеансы должным образом, что означает, что он очень подвержен захватам. Я могу выйти из системы, снова ввести файлы cookie .EpiserverLogin и .ASPXRoles и im внутри приложения. Мой текущий код разрушающих сессии выглядит следующим образом:Как уничтожить сеансы ASP.NET/Episerver
HttpContext.Current.Session.Clear();
HttpContext.Current.Session.Abandon();
HttpContext.Current.Session.RemoveAll();
HttpContext.Current.User = null;
System.Web.Security.FormsAuthentication.SignOut();
Любая помощь, как к тому, что я делаю неправильно сильно appriciated!
EDIT: Вот моя проверка подлинности в моем web.config
<authentication mode="Forms">
<forms name=".EPiServerLogin" loginUrl="CustomLogin.aspx" timeout="50" />
</authentication>
И это, как я проверить пользователей входа в систему:
var validated = Membership.ValidateUser(username, password);
if (validated)
{
FormsAuthentication.SetAuthCookie(username, true);
Response.Redirect("/");
}
Пожалуйста, разместите разделы и вашего web.config. –
Я обновил логин-код и режим аутентификации – Jinxen
Можете ли вы поддержать свое заявление «очень склонно к захватам»? О каком тинге вы говорите? Захват сеанса или перехват входа в систему (FormsAuth-cookie)? – sisve