Testing for Logout Functionality
這一篇主要是在談論 logout 時對 session cookie 的處理,通常我們再 logout 時,會需要將登入時取得到的 cookie 移除,但是有些情況需要注意 :
有些情況下,我們會直接關掉瀏覽器,或它的 tab,而沒有進行登出,所以這時需要有 session timout 的機制。
先將舊 session 記錄起來,然後嘗試 logout 後,接下來再使用再將舊值帶入,如果這樣還 ok 那就代表有問題。
這裡還有提到sso
相關的東西,這裡簡單的說一下,這是啥 。
SSO ( Single Sign-On ) 簡單的說『 你登入一次,就可以訪問其它相關的網站或服務 』,像我們常用的 google 登入,就是一種。
然後再 sso 這裡就是要注意如果 logout 後,會不會在其它地方還是可以進入,或是有上面的問題,但我自已是覺得應該是比較少吧 ~ 畢竟人家花了那們多人做…
這個篇章說的,事實上上面有提到了。
4.6.8 Testing for Session Puzzling
session puzzling 是一種攻擊技術,通常用於試圖路解或繞過網站的身份驗證,它使用的手法概念上有點像是『 模擬用戶的 session 』。
不過有點看不太懂過程…
4.6.9 Testing for Session Hijacking
主要 session 會被 hijack 的可能原因有 :
截取未被加密網路的資訊。
dns 劫持。
xss。
session flixation。