后我在登录页有一个ASP.Net应用程序我称之为ASP.Net会话变成无效注销
FormsAuthentication.SignOut
Session.Abandon()
Session.Clear()
但是Appscan能够走的是ASPXAUTH cookie的值,然后注销后能够重新注入cookie值以访问受保护的页面。
微软已经承认问题,但只提供建议不修复 - http://support.microsoft.com/kb/900111
有人可以提供例子来说明如何解决这个问题
我认为这就是为什么我会尝试使用会话对象而不是数据库表。我不能相信这仍然是ASP.Net的问题,当然这是一个巨大的安全问题 – Jon 2009-11-11 09:10:11