Tester le processus de gestion des sessions

Le processus de gestion de session couvre largement tous les contrôles de l’utilisateur, de l’authentification à la sortie de l’application. HTTP est un protocole sans état, ce qui signifie que les serveurs Web répondent aux demandes du client sans établir de connexion continue. Par conséquent, même une application simple nécessite que l’utilisateur envoie plusieurs demandes avant de lier une session. Le plus souvent, cela se fait par le biais d’un jeton d’identification approprié, appelé identifiant de session ou cookie. Il convient d’examiner comment l’application gère la session et s’il est possible de perturber ce processus. L’image ci-dessous montre une demande POST au serveur d’applications pour l’authentification de l’utilisateur.

demande POST au serveur d’applications pour l’authentification de l’utilisateur

Le dessin suivant affiche une réponse serveur qui définit un jeton ASPXUSERWU pour l’utilisateur comme ID de session.

réponse du serveur qui définit pour l’utilisateur un jeton ASPXUSERWU servant d’IDENTIFIANT de session

Chaque demande ultérieure au serveur est envoyée avec un jeton de session prédéterminé tel qu’il est indiqué dans le graphique ci-dessous.

la demande au serveur est envoyée avec un jeton de session prédéterminé

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Podziel się swoją opinią na temat artykułu