我做了一个小样本测试,发现我测试的几乎所有网站都受到了我可以访问受限页面(即需要登录的页面)的漏洞,即使我已经从浏览器退出后如果我保存了cookie我还在登录的时候。
测试相当简单。我刚从浏览器中注销后,才在Fiddler 中重播了一个网页请求。例如,使用outlook.com,在注销后,我可以重播显示地址簿的页面,并仍然可以获取联系人的电子邮件地址。
我可能知道行业标准是什么,因为我有一位客户坚持修复此漏洞但不想增加硬件规格。
答案 0 :(得分:0)
我不确定是否有行业标准,但有最佳做法。最佳做法是清理cookie和cookie管理。
你也不必担心硬件问题。这是一个简单的查找,以查看值是否有效。如果不是,则会话状态不应该复活。
同样,我会在cookie上使用HttpOnly和一个安全标志。这样,它将更多地限制重放攻击。当涉及到复活会话时,请确保会话文件在服务器上被销毁,而不仅仅是放弃。
被遗弃的会话意味着他们可能会被复活。
硬件通常不会出现此问题。如果是,请查看您的解决方案,因为可能有更好的方法。