آسیب پذیری Logout Functionality


شرح آسیب پذیری:

اعتبار دهی کاربران در پرتال های تحت وب و API ها با استفاده از Session صورت می پذیرد. مقدار Session پس از ورود به سایت ساخته شده و به کاربر اختصاص می یابد و پس از خروج Expire می گردد. در این آسیب پذیری، پس از کلیک بر روی گزینه خروج، Session کاربر Expire نشده و مهاجم می تواند در صورت در اختیار داشتن Session، پس از خروج کاربر از سایت (سامانه) اقدام به انجام تمامی عملیات هایی نماید که کاربر مجاز به انجام آن می باشد. درجه این اهمیت زمانی افزایش می یابد که سایت از طریق اینترنت قابل دسترس بوده و قربانی از مکان های عمومی نظیر کافی نت اقدام به ورود به سایت نماید. همچنین وجود آسیب پذیری ای نظیر Session Fixation نیز به خودی خود سبب افزایش درجه اهمیت این آسیب پذیری خواهد شد.

چگونه این آسیب پذیری را رفع کنیم ؟

– در سایت (سامانه) باید قابلیتی مشهود جهت Logout نمودن کاربر وجود داشته باشد.
– پس از کلیک کاربر بر روی Logout باید کلیه Session های معتبری که جهت احراز هویت به او اختصاص داده شده است، Expire گردد.
میلاد خوشدل

در حوزه‌ی امنیت وب و شبکه فعالیت می کند، عاشق پارکور است و مدیریت دیتاسنتر، امن سازی شبکه های مخابراتی و کابلی و برنامه نویسی وب و موبایل از تجارب کاری او می باشد. او در حال حاضر بنیانگذار ریجاکس است.

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

شش + 8 =


تگ های html مجاز به استفاده می باشند: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

ارسال یک پیام