Таймаут сеанса OWASP

Contents

Тайм-аут сеанса

Спасибо, что посетили OWASP.org. Недавно мы перевели наше сообщество на новую веб-платформу, и, к сожалению, содержимое этой страницы пришлось программно перенести с предыдущей вики-страницы. Есть еще кое-что, что нужно сделать.

Это пример страницы проекта или главы..

Описание тайм-аута сеанса

Тайм-аут сеанса представляет собой событие, возникающее, когда пользователь не выполняет никаких действий на веб-сайте в течение интервала (определяемого веб-сервером). Событие на стороне сервера изменяет статус пользовательского сеанса на «недействительный» (т.е. «больше не используется») и дает указание веб-серверу уничтожить его (удаляя все содержащиеся в нем данные)..

Определите тайм-аут сеанса

В веб-приложениях JEE есть 2 способа определить тайм-аут сеанса,

  • Декларативно в дескрипторе веб-развертывания (файл «web.xml»): это определение применяется ко всем сеансам, созданным для приложения..
  • Программно для объекта сеанса: это определение применяется только к текущему сеансу..

Тайм-аут определен декларативно

Тайм-аут определяется программно

Влияние тайм-аута сеанса на безопасность и передовые методы

Тайм-аут сеанса определяет время окна действия для пользователя, это окно представляет время, в течение которого злоумышленник может попытаться украсть и использовать существующий сеанс пользователя …

Для этого рекомендуется:

  • Установите время ожидания сеанса на минимально возможное значение, зависящее от контекста приложения..
  • Избегайте «бесконечного» тайм-аута сеанса.
  • Предпочитайте декларативное определение тайм-аута сеанса, чтобы применить глобальный тайм-аут для всех сеансов приложения..
  • Отслеживание создания / разрушения сеанса, чтобы проанализировать тенденцию создания и попытаться обнаружить нормальное количество созданий сеансов (фаза профилирования приложения в атаке).

Предстоящие глобальные события

Корпоративные спонсоры

OWASP, Open Web Application Security Project и Global AppSec являются зарегистрированными товарными знаками, а AppSec Days, AppSec California, AppSec Cali, SnowFROC, LASCON и логотип OWASP являются товарными знаками OWASP Foundation, Inc. Если не указано иное, весь контент на сайте является Creative Commons Attribution-ShareAlike v4.0 и предоставляется без гарантии обслуживания или точности. Для получения дополнительной информации см. Наш общий отказ от ответственности. OWASP не одобряет и не рекомендует коммерческие продукты или услуги, что позволяет нашему сообществу оставаться нейтральным к поставщикам, руководствуясь коллективной мудростью лучших умов в области безопасности программного обеспечения во всем мире. Авторское право 2021, OWASP Foundation, Inc.

Похожие статьи