Testowanie procesu zakończenia sesji

Badanie procesu zakończenia sesji polega w głównej mierze na sprawdzeniu, czy po wylogowaniu użytkownika aplikacji nie jest możliwe ponowne użycie jego identyfikatora sesji. Należy sprawdzić także jak aplikacja zarządza danymi przechowywanymi w pamięci. Aby zminimalizować czas, w którym atakujący może przeprowadzić atak na aktywną sesję i ją przejąć, należy ustawić limit czasu wygasania dla każdej sesji, określając czas, przez jaki pozostanie ona aktywna. Ustanowienie zbyt długiego czasu wygasania sesji przez aplikację internetową zwiększa ryzyko związane z atakami opartymi na aktywnej sesji. Im krótszy interwał sesji, tym mniej czasu osoba atakująca ma na jej przejęcie. Wartości limitu czasu wygasania sesji powinna być ustawiona odpowiednio do celu i charakteru aplikacji internetowej, a także równoważenia bezpieczeństwa i użyteczności, tak aby użytkownik mógł wygodnie wykonać operacje w aplikacji internetowej bez częstej utraty sesji. Typowe limity czasu bezczynności to 2-5 minut dla aplikacji o wysokim ryzyku i 15-30 minut dla aplikacji niskiego ryzyka. Na rysunku poniżej widoczna jest odpowiedź serwera z zbyt długim ustawieniem czasu ważności ciasteczka sesyjnego wynoszącego rok.

odpowiedź serwera z zbyt długim ustawieniem czasu ważności ciasteczka sesyjnego wynoszącego rok

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu