Badanie procesu zakończenia sesji polega w głównej mierze na sprawdzeniu, czy po wylogowaniu użytkownika aplikacji nie jest możliwe ponowne użycie jego identyfikatora sesji. Należy sprawdzić także jak aplikacja zarządza danymi przechowywanymi w pamięci. Aby zminimalizować czas, w którym atakujący może przeprowadzić atak na aktywną sesję i ją przejąć, należy ustawić limit czasu wygasania dla każdej sesji, określając czas, przez jaki pozostanie ona aktywna. Ustanowienie zbyt długiego czasu wygasania sesji przez aplikację internetową zwiększa ryzyko związane z atakami opartymi na aktywnej sesji. Im krótszy interwał sesji, tym mniej czasu osoba atakująca ma na jej przejęcie. Wartości limitu czasu wygasania sesji powinna być ustawiona odpowiednio do celu i charakteru aplikacji internetowej, a także równoważenia bezpieczeństwa i użyteczności, tak aby użytkownik mógł wygodnie wykonać operacje w aplikacji internetowej bez częstej utraty sesji. Typowe limity czasu bezczynności to 2-5 minut dla aplikacji o wysokim ryzyku i 15-30 minut dla aplikacji niskiego ryzyka. Na rysunku poniżej widoczna jest odpowiedź serwera z zbyt długim ustawieniem czasu ważności ciasteczka sesyjnego wynoszącego rok.
