测试会话终止过程

完成会话的过程主要是检查应用程序的用户在应用程序注销后不能重复使用。 您还应检查应用程序如何管理存储在内存中的数据。 为了最大限度地减少攻击者攻击活动会话并接管该会话的时间,请为每个会话设置一个过期超时,指定该会话将保持活动多长时间。 为 Web 应用程序建立过长的会话过期时间会增加基于活动会话的攻击的风险。 会话间隔越短,攻击者接管的时间就越短。 会话到期超时值应根据 Web 应用程序的目的和性质设置,并平衡安全性和可用性,以便用户能够在 Web 应用程序中方便地执行操作,而不会经常丢失会话。 典型的闲置超时时间为高风险应用程序 2-5 分钟,低风险应用程序 15-30 分钟。 下图显示服务器响应与会话 Cookie 有效期为一年太长。

服务器响应时间过长,会话Cookie有效期为一年

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注