Fijación de sesión en ASP.NET

0

Estoy probando la aplicación ASP.NET, donde el ID de sesión (ASP.NET_SessionId) no se renueva después de iniciar sesión. En realidad, se renueva cuando uso el navegador, en el servidor de la página de inicio de sesión envía:

Set-Cookie: ASP.NET_SessionId=; expires=Sun, 25-Jun-2017

Pero si modifico la respuesta, por ejemplo, en Burp y elimino esta declaración, puedo iniciar sesión usando una cookie antigua y esta cookie no se renovará. ¿Debería renovarse esta cookie también en este caso? ¿Es posible la fijación de sesión en ASP.NET utilizando solo ASP.NET_SessionId? En .NET para iniciar sesión es necesario tener ASP.NET_SessionId, así como .ASPXAUTH?

    
pregunta user187205 25.06.2018 - 18:25
fuente

0 respuestas

Lea otras preguntas en las etiquetas