Testen des Sitzungsabschlussprozesses

Bei der Untersuchung des Sitzungsabschlussprozesses wird hauptsächlich überprüft, ob der Anwendungsbenutzer nach dem Abmelden seine Sitzungs-ID nicht wiederverwenden kann. Überprüfen Sie auch, wie die Anwendung die im Speicher gespeicherten Daten verwaltet. Um die Zeit zu minimieren, in der ein Angreifer einen Angriff auf eine aktive Sitzung durchführen und übernehmen kann, legen Sie für jede Sitzung ein Ablaufzeitlimit fest, indem Sie festlegen, wie lange sie aktiv bleibt. Wenn Sie festlegen, dass eine Webanwendung eine Sitzung zu lange ablauft, erhöht sich das Risiko von Angriffen, die auf einer aktiven Sitzung basieren. Je kürzer das Sitzungsintervall, desto weniger Zeit hat der Angreifer, um es zu übernehmen. Die Timeoutwerte für das Ablaufen der Sitzung sollten entsprechend dem Zweck und der Art der Webanwendung sowie dem Ausgleich von Sicherheit und Nutzen festgelegt werden, damit der Benutzer bequem Vorgänge in einer Webanwendung ausführen kann, ohne die Sitzung häufig zu verlieren. Typische Leerlauflimits sind 2-5 Minuten für Apps mit hohem Risiko und 15-30 Minuten für Risikoanwendungen. Die folgende Abbildung zeigt die Antwort eines Servers mit einer zu langen Gültigkeitsdauer des Sitzungskekses von einem Jahr.

Serverantwort mit zu langer Einstellung der Gültigkeitsdauer eines Sitzungskekses von einem Jahr

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert