Il processo di gestione della sessione copre un'ampia gamma di controlli utente, dall'autenticazione all'uscita dall'applicazione. HTTP è un protocollo senza stato, il che significa che i server Web rispondono alle richieste dei client senza stabilire una connessione continua ad esso. Pertanto, anche una semplice applicazione richiede all'utente di inviare più richieste prima che una sessione sia associata ad essa. Questo viene fatto più spesso attraverso un token di identificazione appropriato, indicato come ID sessione o cookie. Esaminare il modo in cui l'applicazione gestisce la sessione e se esiste la possibilità di un disturbo del processo. L'immagine seguente mostra una richiesta POST al server applicazioni per l'autenticazione utente.
Nella figura successiva è possibile visualizzare la risposta del server che imposta il token ASPXUSERWU dell'UTENTE come ID sessione.
Ogni richiesta successiva al server viene inviata con un token di sessione predeterminato, come mostrato nell'immagine seguente.
