No destruye las cookies al cerrar sesión

Navega tus respuestas
0

Como un pentester principiante, estaba aplastando una de nuestras aplicaciones y descubrí que las cookies no se destruyen cuando un usuario cierra la sesión. Las cookies vinieron con una fecha y hora de caducidad.

Lo que he comprobado:

Sin iniciar sesión, intenté acceder a una URL que se encuentra detrás del inicio de sesión, pero envié esa solicitud HTTP con la cookie que había anotado antes de cerrar sesión. Pude acceder a la página como si fuera un usuario registrado. Más tarde, probé la misma URL con la misma cookie, pero después de la fecha de caducidad de la cookie y como se esperaba, la URL arrojó un error 403 prohibido. ¿Es esta una práctica normal? ¿O debería pedir a los propietarios de la aplicación que destruyan la cookie tan pronto como el usuario cierre la sesión independientemente de la fecha de caducidad de la cocinera?

    
pregunta Sree 19.12.2018 - 11:42
fuente

1 respuesta

2

Una sesión tiene presencia tanto en el cliente como en el servidor:

  • En el cliente, el identificador de sesión se almacena en una cookie con una vida útil limitada.
  • En el servidor, la sesión se almacena en algún lugar y, por lo general, también tiene una fecha de caducidad.

La funcionalidad de cierre de sesión debe manejar ambos: eliminar la cookie del cliente y finalizar la sesión en el servidor. Lo último es lo más importante, o la sesión seguirá siendo válida aunque el cliente ya no tenga la cookie. Esto parece no suceder en tu caso. Pida a los desarrolladores que finalicen la sesión en el servidor cuando un usuario cierre la sesión.

  

Sin iniciar sesión, intenté acceder a una URL que se encuentra detrás del inicio de sesión, pero envié esa solicitud HTTP con la cookie que había anotado antes de cerrar sesión.

Así que se desconectó y aún podría acceder a una página para la que debería autenticarse. Esto significa que al cerrar sesión, la sesión no se termina, lo que debería.

  

Más tarde, probé la misma URL con la misma cookie, pero después de la fecha de caducidad de la cookie y como se esperaba, la URL arrojó un error 403 prohibido.

Esto significa que la sesión ha expirado en el servidor. Las sesiones en el servidor tienen una duración limitada, lo cual es bueno. Esta podría ser la misma duración que el tiempo de caducidad de la cookie, pero no tiene que ser así.

  

¿O debería pedir a los propietarios de la aplicación que destruyan la cookie tan pronto como el usuario cierre la sesión independientemente de la fecha de caducidad de la cocinera?

Sí, es razonable preguntar.

    
respondido por el Sjoerd 19.12.2018 - 12:28
fuente

Lea otras preguntas en las etiquetas

¿Cómo tener tanto TLS como la firma de marca de tiempo para los datos? El certificado funciona en Chrome + Firefox pero no con curl ("no se puede obtener el certificado del emisor local") con el reciente cacert.pem