https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/06-Session_Management_Testing/README

4.6.6 Testing for Logout Functionality

Testing for Logout Functionality

這一篇主要是在談論 logout 時對 session cookie 的處理，通常我們再 logout 時，會需要將登入時取得到的 cookie 移除，但是有些情況需要注意 :

• 有些情況下，我們會直接關掉瀏覽器，或它的 tab，而沒有進行登出，所以這時需要有 session timout 的機制。

• 先將舊 session 記錄起來，然後嘗試 logout 後，接下來再使用再將舊值帶入，如果這樣還 ok 那就代表有問題。

這裡還有提到sso相關的東西，這裡簡單的說一下，這是啥 。

SSO ( Single Sign-On ) 簡單的說『 你登入一次，就可以訪問其它相關的網站或服務 』，像我們常用的 google 登入，就是一種。

然後再 sso 這裡就是要注意如果 logout 後，會不會在其它地方還是可以進入，或是有上面的問題，但我自已是覺得應該是比較少吧 ~ 畢竟人家花了那們多人做…

4.6.7 Testing Session Timeout

Testing Session Timeout

這個篇章說的，事實上上面有提到了。

4.6.8 Testing for Session Puzzling

4.6.8 Testing for Session Puzzling

session puzzling 是一種攻擊技術，通常用於試圖路解或繞過網站的身份驗證，它使用的手法概念上有點像是『 模擬用戶的 session 』。

不過有點看不太懂過程…

4.6.9 Testing for Session Hijacking

4.6.9 Testing for Session Hijacking

主要 session 會被 hijack 的可能原因有 :

• 截取未被加密網路的資訊。

• dns 劫持。

• xss。

• session flixation。