Mi sono imbattuto in questo in ASVS 3.0.1 ( V3 .6). Mi chiedo cosa sia, non ho trovato nessuna spiegazione significativa.
Mi sono imbattuto in questo in ASVS 3.0.1 ( V3 .6). Mi chiedo cosa sia, non ho trovato nessuna spiegazione significativa.
Sembra probabile che si riferisca alla pratica semplicemente scrivendo i token di sessione nell'URL come parte di una richiesta GET sotto forma di SomeAction.do; jsessionid = 863F3D24DEFA? Id = 19. Questa è ovviamente una cattiva pratica e non consigliata.
Non è del tutto chiaro cosa si intende senza un qualche tipo di esempio, tuttavia supponevo che ciò significasse "Non memorizzare mai i parametri URL nei cookie". Ciò potrebbe potenzialmente aprire un sito fino a un sacco di vulnerabilità XSS. Se stai facendo questo con le variabili di sessione, allora una sessione potrebbe essere dirottata semplicemente con un URL copiato.
Leggi altre domande sui tag cookies url session-management