Perché dovresti mantenere più ID di sessione in un'unica applicazione?

1

C'è un'applicazione web e sto osservando i valori dei cookie dopo l'autenticazione usando il proxy Burp. Esistono 5 diversi cookie, ad esempio c1 , c2 , c3 , c4 , c5 .

Quando ho manomesso i valori di c1 , c2 e c3 , ho ricevuto una risposta di 200 OK, il che significa che questi cookie non contengono informazioni di sessione.
Quando ho manomesso i valori di c4 e c5 , ho ricevuto una risposta 302 e sono stato reindirizzato alla pagina di accesso. Significa che c4 e c5 sono ID di sessione.

Le mie domande sono:

  1. La mia opinione è corretta sul sito che conserva più di un ID di sessione?
  2. Perché dovrebbero essere mantenuti ID di più sessioni? E 'per aggiungere un po' di sicurezza?
posta one 06.07.2016 - 11:04
fonte

1 risposta

4

Dipende.

È molto comune garantire l'integrità dei cookie di sessione. Un modo è quello di creare un identificatore molto lungo (ragionevole lungo), un altro modo è di firmare il cookie di sessione. È anche un MUST con i sistemi senza stato, in cui il cookie passa l'intero contesto dell'utente (molto popolare oggi).

Quindi - puoi avere un cookie contenente la sua firma all'interno (come il token JWT) o un altro cookie contenente MAC del cookie di sessione. Se si blocca con uno di essi, le informazioni sulla sessione non saranno più valide.

Potrebbe anche avere diversi motivi, ad esempio se hai modificato le informazioni sulla validità, le informazioni sulla posizione del sito, ...

    
risposta data 06.07.2016 - 11:27
fonte

Leggi altre domande sui tag