Как предотвратить повторные атаки?

Здесь есть несколько хороших secure ответов, и, в конечном итоге, ответ vulnerabilities на них лежит:

1. Блочное шифрование encryption (с AES-256 +) и хэширование security (с SHA-2 +) всей информации, связанной encrypt с состоянием / одноразовым aspx идентификатором, которая asp.net-website отправляется клиенту. В противном aspdotnet случае хакеры просто манипулируют security данными, просматривают их, чтобы aspdotnet изучить закономерности и decryption обойти все остальное. Помните aspdotnet ... требуется только одно asp.net-website открытое окно.

2. Создает одноразовый secure случайный и уникальный одноразовый security номер для каждого запроса, который security отправляется обратно с запросом cipher POST. Это делает две вещи: это secure гарантирует, что ответ POST vulnerabilities идет с запросом THAT. Он vulnerability также позволяет отслеживать asp-net однократное использование vulnerability заданного набора пар get vulnerability / POST (предотвращая повторное security воспроизведение).

3. Используйте aspdotnet метки времени, чтобы сделать cipher пул nonce управляемым. Сохраните vulnerability отметку времени в зашифрованном asp.net-website файле cookie согласно пункту asp-net 1 выше. Отбросьте все запросы aspdotnet старше максимального времени decryption ответа или сеанса для приложения web-security (например, часа).

4. Сохраните vulnerability «достаточно уникальный» цифровой aspx отпечаток устройства, отправляющего secure запрос, с зашифрованными cipher данными отметки времени. Это asp.net-website предотвратит еще один трюк, при asp-net котором злоумышленник крадет security клиентские файлы cookie для aspx перехвата сеанса. Это гарантирует, что security запрос возвращается не только asp.net-website один раз, но и с машины (или secure достаточно близко, чтобы aspdotnet злоумышленник практически web-security не мог скопировать), на которую security была отправлена ​​форма.

Существуют vulnerabilities приложения на основе фильтров vulnerability безопасности ASPNET и Java vulnerability / J2EE, которые выполняют vulnerabilities все вышеперечисленное без asp.net необходимости кодирования. Управление encrypt пулом nonce для больших систем encrypt (таких как компания, торгующая aspx акциями, банк или защищенный vulnerabilities сайт большого объема) - нетривиальная web-security задача, если производительность asp-net критична. Рекомендую посмотреть cipher на эти продукты, а не пытаться asp.net-website запрограммировать это для security каждого веб-приложения.