Me tropecé con esto en ASVS 3.0.1 ( V3 .6). Me pregunto qué es esto, no pude encontrar ninguna explicación significativa.
Me tropecé con esto en ASVS 3.0.1 ( V3 .6). Me pregunto qué es esto, no pude encontrar ninguna explicación significativa.
Parece probable que se refiera a la práctica, simplemente escribiendo tokens de sesión en la URL como parte de una solicitud GET en la forma de SomeAction.do; jsessionid = 863F3D24DEFA? Id = 19. Esto es obviamente una mala práctica y no es aconsejable.
No está del todo claro qué se entiende sin algún tipo de ejemplo, sin embargo, yo especularía que esto significa "Nunca almacenar parámetros de URL en las cookies". Hacerlo potencialmente abriría un sitio a muchas vulnerabilidades de XSS. Si estás haciendo esto con las variables de sesión, entonces una sesión podría ser secuestrada simplemente con una URL copiada.
Lea otras preguntas en las etiquetas url cookies session-management