セッション管理プロセスをテストする

セッション管理プロセスは、認証からアプリケーションからの離脱まで、幅広いユーザーコントロールを対象としています。 HTTP はステートレス プロトコルであり、Web サーバーはクライアント要求に対して継続的な接続を確立せずに応答します。 そのため、単純なアプリケーションであっても、セッションが関連付けられる前に、ユーザーは複数の要求を送信する必要があります。 これは、セッション ID または Cookie と呼ばれる適切な識別トークンを使用して行われることが最も多い。 アプリケーションがセッションをどのように管理するか、およびプロセスの障害が発生する可能性があるかどうかを調べます。 次の図は、ユーザー認証のためにアプリケーション サーバーに対する POST 要求を示しています。

ユーザー認証用のアプリケーション・サーバーへの POST 要求

次の図では、セッション ID として機能するようにユーザーの ASPXUSERWU トークンを設定するサーバー応答を確認できます。

ユーザーがセッション ID として機能するように ASPXUSERWU トークンを設定するサーバー応答

後続の各要求は、以下の図に示すように、事前に決定されたセッション トークンと共に送信されます。

サーバーへの要求は、事前に定義されたセッション トークンと共に送信されます

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です