测试会话管理过程

会话管理过程涵盖从身份验证到离开应用程序的各种用户控制。 HTTP 是一种无状态协议,这意味着 Web 服务器响应客户端请求时无需建立连续连接到它。 因此,即使是简单的应用程序也要求用户在与会话关联之前发送多个请求。 这通常通过适当的身份识别令牌(称为会话 ID 或 Cookie)完成。 检查应用程序如何管理会话,以及流程是否可能出现混乱。 下图显示向应用服务器请求用户身份验证的 POST 请求。

向应用服务器发送用户身份验证请求

在下一个图中,您可以看到设置用户 ASPXUSERWU 令牌作为会话 ID 的服务器响应。

为用户设置 ASPXUSERWU 令牌以用作会话 ID 的服务器响应

随后向服务器发送的每一个请求都带有以下图形中所示的预先确定的会话令牌。

向服务器发送请求时,会与预先确定的会话令牌一起发送

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

分享你对这篇文章的看法.