Le processus de gestion de session couvre largement tous les contrôles de l’utilisateur, de l’authentification à la sortie de l’application. HTTP est un protocole sans état, ce qui signifie que les serveurs Web répondent aux demandes du client sans établir de connexion continue. Par conséquent, même une application simple nécessite que l’utilisateur envoie plusieurs demandes avant de lier une session. Le plus souvent, cela se fait par le biais d’un jeton d’identification approprié, appelé identifiant de session ou cookie. Il convient d’examiner comment l’application gère la session et s’il est possible de perturber ce processus. L’image ci-dessous montre une demande POST au serveur d’applications pour l’authentification de l’utilisateur.
Le dessin suivant affiche une réponse serveur qui définit un jeton ASPXUSERWU pour l’utilisateur comme ID de session.
Chaque demande ultérieure au serveur est envoyée avec un jeton de session prédéterminé tel qu’il est indiqué dans le graphique ci-dessous.
