Pude iniciar sesión utilizando la cookie de mi sesión anterior, pero cuando intento cambiar la configuración, me desconecté. ¿Será elegible para la vulnerabilidad de omisión de autenticación?
En sí mismo, no. El simple hecho de mostrar que la caducidad de una cookie de sesión está configurada demasiado tiempo no significa que no haya otros mecanismos para evitar el secuestro de la sesión de otra persona.
La mejor práctica para las sesiones es invalidar el cierre de sesión, y después de un período de tiempo dado (ya que la mayoría de las personas simplemente cierran las pestañas sin pulsar 'cerrar sesión'). Ahora, si presiona 'cerrar sesión' y luego puede volver a conectarse a la sesión con la clave de sesión previamente guardada, ese es su propio problema (en realidad, vi que un sitio finalizaba la sesión borrando la cookie del cliente, pero no la invalidaba. del lado del servidor ... y se incrementaron las ID de sesión).
Si desea probar esto para la omisión de autenticación / el secuestro de sesión, cree una cuenta separada, inicie sesión en otra máquina / navegador / etc, y copie esa cookie de sesión. Si luego se autentica como esa sesión / usuario, se trata de un bypass / secuestro de autenticación confirmado.
Lea otras preguntas en las etiquetas web-application authentication