セーブされたセッションクッキーを使用した再生

Question

私は小さなサンプルテストを行い、テストしたほぼすべてのウェブサイトが、ブラウザからログアウトしても制限されたページ（ログインが必要なページ）にアクセスできる脆弱性に悩まされていることがわかりました私がまだログオンしている間に私がクッキーを保存した場合。

このテストはかなり簡単でした。私はちょうどの後にFiddler でWebリクエストを再生しました。ブラウザからログアウトしました。たとえば、outlook.comでは、ログアウトした後、アドレス帳を表示したページを再生しても、連絡先の電子メールアドレスを取得できます。

この脆弱性の修正を主張しているが、ハードウェアの仕様を増やしたくないお客様がいるため、この業界標準について知っているかもしれません。

Answer 1

業界標準があるかどうかはわかりませんが、ベストプラクティスがあります。そして、ベストプラクティスはクッキーとクッキー管理をきれいにすることです。

この場合でもハードウェアについて心配する必要はありません。値が有効かどうかを調べるのは簡単な参照です。そうでない場合、セッション状態は復活しません。

もう一度、私はHttpOnlyとCookie上の安全なフラグを使用します。そうすれば、リプレイ攻撃がさらに制限されます。また、セッションを復活させる場合は、放棄されただけでなく、サーバー上でセッションファイルが破壊されていることを確認してください。

放棄されたセッションは、潜在的に復活する可能性があることを意味します。

ハードウェアは一般的にこの問題の問題ではありません。そうであれば、より良い方法があるかもしれないので、あなたの解決策を見てください。