Non distruggere i cookie alla disconnessione

0

Come principiante per principianti, stavo pentestando una delle nostre applicazioni e ho scoperto che i cookie non venivano distrutti quando un utente si disconnetteva. I cookie sono arrivati con una data e ora di scadenza.

Che cosa ho controllato:

Senza accedere, ho provato ad accedere a un URL che si trova dietro l'accesso, ma ho inviato quella richiesta HTTP con il cookie che avevo annotato prima di disconnettermi. Sono stato in grado di accedere alla pagina come se fossi un utente registrato. Successivamente, ho provato lo stesso URL con lo stesso cookie, ma dopo la scadenza del cookie e come previsto, l'URL ha generato un errore 403 vietato. È una pratica normale? O dovrei chiedere ai proprietari delle app di distruggere il cookie non appena l'utente si disconnette indipendentemente dalla data di scadenza del cookie?

    
posta Sree 19.12.2018 - 11:42
fonte

1 risposta

2

Una sessione ha la presenza sia sul client che sul server:

  • Sul client, l'identificatore di sessione è memorizzato in un cookie con una durata limitata.
  • Sul server, la sessione viene archiviata da qualche parte e in genere ha anche una data di scadenza.

La funzionalità di disconnessione deve essere gestita da entrambi: rimuovere il cookie dal client e terminare la sessione sul server. Quest'ultimo è il più importante, altrimenti la sessione rimane valida anche se il client non ha più il cookie. Questo sembra non accadere nel tuo caso. Chiedi agli sviluppatori di terminare la sessione sul server quando un utente si disconnette.

Without logging in, I tried to access a URL that lies behind the login, but I sent that HTTP request with the cookie that I had noted down before logging out.

Quindi hai effettuato il logout e puoi ancora accedere a una pagina per cui devi essere autenticato. Ciò significa che al logout la sessione non viene terminata, cosa che dovrebbe.

Later, I tried the same URL with the same cookie, but after the expiry time of the cookie and as expected, the URL threw a 403 forbidden error.

Ciò significa che la sessione è scaduta sul server. Le sessioni sul server hanno una durata limitata, il che è positivo. Questa potrebbe essere la stessa durata del tempo di scadenza del cookie, ma non deve essere.

Or should I ask the app owners to destroy the cookie as soon as the user logs out regardless of cookie's expiry date?

Sì, è ragionevole chiedere.

    
risposta data 19.12.2018 - 12:28
fonte

Leggi altre domande sui tag