OWASP توصیه می کند تنظیم زمان وقایع جلسه را به حداقل مقدار ممکن برساند ، برای به حداقل رساندن مدت زمانی که یک مهاجم مجبور است جلسات ربودن جلسه را بگیرد: مدت زمان جلسه زمان پنجره عمل را برای یک کاربر تعیین می کند بنابراین این پنجره ، در همان زمان ، تأخیر در نشان…
برنامه وب – شناسه جلسه در هدر دلخواه
آیا در صورت انتقال شناسه جلسه در عنوان درخواست ، می توان حمله تثبیت جلسه با XSS موجود را انجام داد؟ تا آنجا که من آن را می بینم ، از نظر تئوری سه روش برای انجام این کار وجود دارد: درخواست رهگیری در ورود به سیستم ، شناسه جلسه جایگزین (هیچ روش ارتباطی با…