大多数 Web 应用程序使用会话标识符对用户进行唯一标识，标识符通常存储在 Cookie 中，采用透明方式在服务器与 Web 浏览器之间传输。


当属性值设置为 true 或 UseUri 时，无论浏览器或设备是否支持 Cookie，应用程序都不会使用 Cookie。当属性值设置为 AutoDetect 或 UseDeviceProfile 时，根据请求浏览器或设备配置，不使用 Cookie。

如果应用程序未将会话标识符存储到 Cookie 中，则有时会作为 HTTP 请求参数或 URL 的一部分进行传输。接受 URL 中指定的会话标识符有利于攻击者发动 Session Fixation 攻击。

在 URL 中放置会话标识符还可以增加针对应用程序发动 Session Hijacking 攻击的成功率。当攻击者控制受害者的活动会话或会话标识符后，就会发生 Session Hijacking 攻击。在实践中，Web 服务器、应用程序服务器和 Web 代理往往会存储请求的 URL。如果 URL 中包含会话标识符，也会予以记录。增加查看和存储会话标识符的位置数量将提高攻击者的攻击概率。

可以将 ASP.NET 应用程序配置为输出跟踪调试信息。跟踪输出中会包含有关对当前页面发出的请求、该页面上使用的标头信息、方法和控件以及活动会话状态的详细信息。攻击者可以利用其从跟踪输出中获得的附加信息，对应用程序所用的框架、数据库或其他资源发动攻击。

通过将 <page> 指令的 Trace 属性设置为 true，在页面级别启用跟踪信息；或者，通过在 web.config 文件中添加 trace 元素并将其 enabled 属性设置为 true，在应用程序级别启用跟踪信息。

使用模拟凭据允许 ASP.NET 应用程序以其代表执行的客户端的权限或在其配置中授予的任意权限运行。

ASP.NET 应用程序可以将用户名和密码对存储在 ASP.NET 应用程序 web.config 文件的 <credentials> 元素中，支持明文、MD5 和 SHA1 密码格式。

任何有权访问应用程序配置文件的用户都能访问采用明文的形式或使用弱加密算法存储的密码。其中可能包括托管应用程序的计算机或应用程序所在的源代码存储库。

示例 1：以下 web.config 条目采用明文的形式存储密码的方式有误。

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET 支持以三种格式存储的凭据密码，通过 configuration/system.web/authentication/forms/credentials 元素的 passwordFormat 属性指定。此属性可能的值包括：

Clear - 表示采用明文的形式存储密码（最不安全）
MD5 - 表示存储密码的 MD5 散列
SHA1- 表示存储密码的 SHA1 散列（最安全）

虽然 MD5 散列的安全性高于明文，但研究人员已发现针对 MD5 散列算法的强力攻击。目前，SHA1 散列仍可提供合理的保护来抵御此类攻击。

客户管理的密钥不用于加密静态数据。

默认情况下，如果启用了加密，AWS 会使用 AWS 管理的密钥来加密静态数据。客户管理的密钥允许组织使用他们选择的加密密钥来加密数据。这使组织可以更好地控制和记录加密过程。

因此，客户管理的密钥通常是满足以下要求的解决方案的一部分，包括但不限于：
- 敏感数据访问的审核日志
- 数据驻留
- 更换、禁用或销毁密钥

请注意，格式为 aws/service-name 的密钥是为 AWS 管理的密钥保留的。

宽松的访问配置可能会暴露系统并扩大组织的攻击面。向公众开放的服务通常会受到恶意实体近乎持续的扫描和探测。

当发现并发布某项公开服务的零日漏洞（例如 Heartbleed）时，尤其容易出现问题。攻击者可能会主动追踪和搜索未修补和暴露的系统以进行利用。

对关键或敏感资源的不受控制的访问可能会以各种方式对组织产生重大影响，包括泄露或篡改关键数据。