偵測到弱式工作階段管理

high Web App Scanning Plugin ID 112794

語系：

概要

偵測到弱式工作階段管理

說明

Web 工作階段是使用者在指定時間範圍內發出的一組 HTTP 交易。Web 應用程式使用工作階段來保留每個使用者的相關資訊、追蹤使用者的活動或定義適當的存取權和權限。每個工作階段都有一個由應用程式定義的識別碼 (權杖或 ID)，用來將使用者繫結至其 HTTP 流量，這暫時等同於應用程式用於經驗證工作階段的最高驗證方法。

攻擊者可將工作階段管理機制作為目標，藉此劫持其他使用者的工作階段，以模擬這些使用者，並使用其在應用程式中的權限或存取敏感資訊。

解決方案

Web 應用程式必須強制執行強式工作階段管理，以避免工作階段偽造、可預測或重複使用。工作階段 ID 必須足夠長 (至少 128 位元)，才能防止暴力密碼破解攻擊來判斷有效的工作階段。在應用程式的目前工作階段內容中，工作階段 ID 必須是唯一的，並且其熵必須足夠隨機 (至少 64 位元)，以避免猜測攻擊或統計分析。最後，工作階段的存留期必須有限，在登出、閒置時間或絕對逾時後，工作階段 ID 必須失效。