При недавнем сканировании безопасности с использованием IBM AppScan в одном из наших приложений ASP.NET сообщается о следующей средней уязвимости.
Идентификатор сеанса не обновлен
Уровень серьезности: средний
Риск: возможна кража или манипулирование сеанс клиента и файлы cookie, которые могут использоваться для выдачи себя за законного пользователя, позволяя хакеру просматривать или изменять записи пользователя и выполнять транзакции от имени этого пользователя
Причины: Небезопасное программирование или конфигурация веб-приложения .
Я обнаружил, что в разных темах говорится об одном и том же, а также нашел предлагаемые решения. Но в этой статье базы знаний Microsoft объясняет, как повторное использование идентификаторов сеансов может быть полезным, и эта же статья не Не упоминайте о каких-либо рисках, связанных с повторным использованием идентификаторов сеансов. Также в Идентификаторы сеанса | MSDN никакие упомянутые риски, кроме значений SessionID, не отправляются открытым текстом, будь то файл cookie или часть URL-адреса.
Итак, мой вопрос здесь заключается в том, что риск — это реальная уязвимость/возможная атака с фиксацией сеанса или это просто ложноположительный риск?