asp.net – 渗透测试人员说.ASPXAUTH cookie是不安全的并且正在显示会话数据？

我以为.ASPXAUTH是用于用户身份验证的？任何人都可以确认此cookie是否确实存在安全风险和/或包含会话信息？甚至假设使用它还是一些调试的东西？

解决方法

我想你已经遇到了一些与Forms Authentication安全性有关的评论.您可以在此处找到更多信息：h
ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx

它归结为一个聪明的黑客可以发现用于加密cookeis的机器密钥并创建自己的伪造身份验证cookie.