Testowanie procesu zarządzania sesją

Proces zarządzania sesją obejmuje w szerokim zakresie wszystkie mechanizmy kontrolne użytkownika od uwierzytelnienia do opuszczenie aplikacji. HTTP jest protokołem bezstanowym, co oznacza, że ​​serwery WWW odpowiada na żądania klienta bez  ustanawiania ciągłego połączenia z nim.  Z tego względu nawet prosta aplikacja wymaga wysłania przez użytkownika wielu żądań, zanim zostanie powiązana z nim sesja. Najczęściej odbywa się to poprzez odpowiedni token identyfikacyjny, określany jako identyfikator sesji lub plik cookie. Należy zbadać w jaki sposób aplikacja zarządza sesją oraz, czy istnieje możliwość zaburzenia tego procesu. Na obrazie poniżej widoczne jest żądanie typu POST do serwera aplikacyjnego służący do autentykacji użytkownika.

żądanie typu POST do serwera aplikacyjnego służący do autentykacji użytkownika

Na kolejnym rysunku widoczna jest odpowiedź serwera, który ustawia dla użytkownika token ASPXUSERWU służący jako identyfikator sesji.

odpowiedź serwera, który ustawia dla użytkownika token ASPXUSERWU służący jako identyfikator sesji

Każde kolejne żądanie do serwera wysyłane jest wraz z wcześniej ustalonym tokenem sesyjnym tak jak widoczne jest to na grafice poniżej.

żądanie do serwera wysyłane jest wraz z wcześniej ustalonym tokenem sesyjnym

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu