آسیب پذیری Logout Functionality

اعتبار دهی کاربران در پرتال های تحت وب و API ها با استفاده از Session صورت می پذیرد. مقدار Session پس از ورود به سایت ساخته شده و به کاربر اختصاص می یابد و پس از خروج Expire می گردد. در این آسیب پذیری، پس از کلیک بر روی گزینه خروج، Session کاربر Expire نشده و مهاجم می تواند در صورت در اختیار داشتن Session، پس از خروج کاربر از سایت (سامانه) اقدام به انجام تمامی عملیات هایی نماید که کاربر مجاز به انجام آن می باشد. درجه این اهمیت زمانی افزایش می یابد که سایت از طریق اینترنت قابل دسترس بوده و قربانی از مکان های عمومی نظیر کافی نت اقدام به ورود به سایت نماید. همچنین وجود آسیب پذیری ای نظیر Session Fixation نیز به خودی خود سبب افزایش درجه اهمیت این آسیب پذیری خواهد شد.

– در سایت (سامانه) باید قابلیتی مشهود جهت Logout نمودن کاربر وجود داشته باشد.
– پس از کلیک کاربر بر روی Logout باید کلیه Session های معتبری که جهت احراز هویت به او اختصاص داده شده است، Expire گردد.