riscrittura URL dei cookie di sessione

1

Mi sono imbattuto in questo in ASVS 3.0.1 ( V3 .6). Mi chiedo cosa sia, non ho trovato nessuna spiegazione significativa.

    
posta countermode 01.09.2016 - 13:33
fonte

2 risposte

3

Sembra probabile che si riferisca alla pratica semplicemente scrivendo i token di sessione nell'URL come parte di una richiesta GET sotto forma di SomeAction.do; jsessionid = 863F3D24DEFA? Id = 19. Questa è ovviamente una cattiva pratica e non consigliata.

    
risposta data 01.09.2016 - 14:23
fonte
1

Non è del tutto chiaro cosa si intende senza un qualche tipo di esempio, tuttavia supponevo che ciò significasse "Non memorizzare mai i parametri URL nei cookie". Ciò potrebbe potenzialmente aprire un sito fino a un sacco di vulnerabilità XSS. Se stai facendo questo con le variabili di sessione, allora una sessione potrebbe essere dirottata semplicemente con un URL copiato.

    
risposta data 01.09.2016 - 13:43
fonte

Leggi altre domande sui tag