Testare il processo di terminazione della sessione

Il processo di completamento di una sessione consiste principalmente nel verificare che l'utente dell'applicazione non possa essere riutilizzato dopo la registrazione dell'utente dell'applicazione. È inoltre necessario verificare il modo in cui l'applicazione gestisce i dati memorizzati in memoria. Per ridurre al minimo il tempo in cui un utente malintenzionato può attaccare una sessione attiva e prenderne il controllo, impostare un timeout di scadenza per ogni sessione, specificando per quanto tempo rimarrà attiva. Stabilire un tempo di scadenza della sessione troppo lungo per un'applicazione Web aumenta il rischio di attacchi attivi basati su sessione. Più breve è l'intervallo di sessione, minore è il tempo necessario a un utente malintenzionato per prendere il controllo. I valori di timeout di scadenza della sessione devono essere impostati in base allo scopo e alla natura dell'applicazione Web, nonché bilanciando la sicurezza e l'usabilità in modo che l'utente possa eseguire comodamente le operazioni nell'applicazione Web senza perdere frequentemente la sessione. I timeout di inattività tipici sono 2-5 minuti per le applicazioni ad alto rischio e 15-30 minuti per le applicazioni a basso rischio. La figura seguente mostra la risposta del server con il tempo di validità del cookie di sessione di un anno di troppo.

Risposta server con un periodo di validità dei cookie di sessione troppo lungo di un anno

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Podziel się swoją opinią na temat artykułu