Процесс завершения сеанса в основном заключается в проверке того, что пользователь приложения не может быть повторно использоваться после того, как пользователь приложения выйдет из системы. Вы также должны проверить, как приложение управляет данными, хранящимися в памяти. Чтобы свести к минимуму время, в течение которого злоумышленник может атаковать активный сеанс и захватывать его, установите время ожидания истечения срока действия для каждого сеанса, указав, как долго он будет оставаться активным. Установление слишком длительного времени истечения срока действия сеанса для веб-приложения повышает риск активных атак на основе сеансов. Чем короче интервал сеанса, тем меньше времени у злоумышленника должно взять верх. Значения времени ожидания истечения срока действия сеанса должны быть установлены в соответствии с назначением и характером веб-приложения, а также балансировкой безопасности и удобства использования, чтобы пользователь мог удобно выполнять операции в веб-приложении без частой потери сеанса. Типичное время простоя составляют 2-5 минут для приложений с высоким риском и 15-30 минут для приложений с низким уровнем риска. На рисунке ниже показан ответ сервера со сроком действия сеансового файла cookie в один год.
Тестирование процесса завершения сеанса
Закладка Постоянная ссылка.