Tester le processus de fin de session

L’examen du processus de fin de session consiste principalement à vérifier qu’il n’est pas possible de réutiliser son ID de session après la déconnexion de l’utilisateur de l’application. Vérifiez également comment l’application gère les données stockées en mémoire. Pour réduire au minimum le temps qu’un attaquant peut mener une attaque contre une session active et la prendre en charge, définissez un délai d’expiration pour chaque session, en précisant la durée pendant laquelle elle restera active. Si une application Web expire trop longtemps, les sessions augmentent les risques liés aux attaques basées sur la session active. Plus l’intervalle de session est court, moins l’attaquant a de temps pour la prendre en charge. Les valeurs de délai d’expiration de la session doivent être définies en fonction du but et de la nature de l’application Web, ainsi que l’équilibrage de la sécurité et de l’utilité, afin que l’utilisateur puisse effectuer confortablement des opérations dans l’application Web sans perdre fréquemment de session. Les délais d’inactivité courants sont de 2 à 5 minutes pour les applications à haut risque et de 15 à 30 minutes pour les applications à faible risque. La figure ci-dessous montre la réponse du serveur dont la durée de validité du cookie de session est trop longue.

réponse du serveur avec un réglage trop long de la durée de validité du cookie de session d’un an

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *