Bei der Untersuchung des Sitzungsabschlussprozesses wird hauptsächlich überprüft, ob der Anwendungsbenutzer nach dem Abmelden seine Sitzungs-ID nicht wiederverwenden kann. Überprüfen Sie auch, wie die Anwendung die im Speicher gespeicherten Daten verwaltet. Um die Zeit zu minimieren, in der ein Angreifer einen Angriff auf eine aktive Sitzung durchführen und übernehmen kann, legen Sie für jede Sitzung ein Ablaufzeitlimit fest, indem Sie festlegen, wie lange sie aktiv bleibt. Wenn Sie festlegen, dass eine Webanwendung eine Sitzung zu lange ablauft, erhöht sich das Risiko von Angriffen, die auf einer aktiven Sitzung basieren. Je kürzer das Sitzungsintervall, desto weniger Zeit hat der Angreifer, um es zu übernehmen. Die Timeoutwerte für das Ablaufen der Sitzung sollten entsprechend dem Zweck und der Art der Webanwendung sowie dem Ausgleich von Sicherheit und Nutzen festgelegt werden, damit der Benutzer bequem Vorgänge in einer Webanwendung ausführen kann, ohne die Sitzung häufig zu verlieren. Typische Leerlauflimits sind 2-5 Minuten für Apps mit hohem Risiko und 15-30 Minuten für Risikoanwendungen. Die folgende Abbildung zeigt die Antwort eines Servers mit einer zu langen Gültigkeitsdauer des Sitzungskekses von einem Jahr.
