reescritura de URL de las cookies de sesión

1

Me tropecé con esto en ASVS 3.0.1 ( V3 .6). Me pregunto qué es esto, no pude encontrar ninguna explicación significativa.

    
pregunta countermode 01.09.2016 - 13:33
fuente

2 respuestas

3

Parece probable que se refiera a la práctica, simplemente escribiendo tokens de sesión en la URL como parte de una solicitud GET en la forma de SomeAction.do; jsessionid = 863F3D24DEFA? Id = 19. Esto es obviamente una mala práctica y no es aconsejable.

    
respondido por el user123097 01.09.2016 - 14:23
fuente
1

No está del todo claro qué se entiende sin algún tipo de ejemplo, sin embargo, yo especularía que esto significa "Nunca almacenar parámetros de URL en las cookies". Hacerlo potencialmente abriría un sitio a muchas vulnerabilidades de XSS. Si estás haciendo esto con las variables de sesión, entonces una sesión podría ser secuestrada simplemente con una URL copiada.

    
respondido por el Nstr10 01.09.2016 - 13:43
fuente

Lea otras preguntas en las etiquetas