セッション終了プロセスをテストする

セッションを完了するプロセスは、主に、アプリケーション ユーザーがログオフした後にアプリケーションのユーザーを再利用できないことを確認することです。 また、メモリに格納されているデータをアプリケーションがどのように管理するかを確認する必要があります。 アクティブなセッションを攻撃して引き継ぐ時間を最小限に抑えるには、セッションごとに有効期限のタイムアウトを設定し、アクティブな状態を維持する時間を指定します。 セッションの有効期限が長すぎると、アクティブなセッションベースの攻撃のリスクが高まります。 セッション間隔が短いほど、攻撃者が引き継ぐ時間が短くなります。 セッション有効期限のタイムアウト値は、Web アプリケーションの目的と性質に従って設定するとともに、セキュリティとユーザビリティのバランスをとり、ユーザーが頻繁にセッションを失うことなく Web アプリケーションで操作を実行できるようにする必要があります。 通常のアイドル タイムアウトは、リスクの高いアプリケーションでは 2 ~ 5 分、低リスク アプリケーションでは 15 ~ 30 分です。 次の図は、セッション Cookie の有効期間が 1 年長すぎるサーバー応答を示しています。

セッション Cookie の有効期間が長すぎるサーバー応答が 1 年

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

この記事についてのあなたの意見を教えてください.