Come principiante per principianti, stavo pentestando una delle nostre applicazioni e ho scoperto che i cookie non venivano distrutti quando un utente si disconnetteva. I cookie sono arrivati con una data e ora di scadenza.
Che cosa ho controllato:
Senza accedere, ho provato ad accedere a un URL che si trova dietro l'accesso, ma ho inviato quella richiesta HTTP con il cookie che avevo annotato prima di disconnettermi. Sono stato in grado di accedere alla pagina come se fossi un utente registrato. Successivamente, ho provato lo stesso URL con lo stesso cookie, ma dopo la scadenza del cookie e come previsto, l'URL ha generato un errore 403 vietato. È una pratica normale? O dovrei chiedere ai proprietari delle app di distruggere il cookie non appena l'utente si disconnette indipendentemente dalla data di scadenza del cookie?