6、会话管理测试
4.6.1会话管理模式测试
测试目标
- [ ] 尽可能为同一用户和不同用户收集会话令牌
- [ ] 分析并确保存在足够的随机性来阻止会话伪造攻击
- [ ] 修改未签名且包含可操纵信息的 cookie
4.6.2 Cookies 属性测试
测试目标
- [ ] 确保为 cookie 设置正确的安全配置
4.6.3会话固定测试
测试目标
- [ ] 分析认证机制及其流程
- [ ] 强制 cookie 并评估影响
4.6.4测试暴露的会话变量
测试目标
- [ ] 确保实施正确的加密
- [ ] 检查缓存配置
- [ ] 评估通道和方法的安全性
4.6.5跨站请求伪造测试
测试目标
- [ ] 确定是否可以代表用户发起请求
4.6.6测试注销功能
测试目标
- [ ] 评估注销 UI
- [ ] 分析会话超时以及注销后会话是否被正确终止
4.6.7测试会话超时
测试目标
- [ ] 验证是否存在硬会话超时
4.6.8会话混淆测试
测试目标
- [ ] 识别所有会话变量
- [ ] 打破会话生成的逻辑流程
4.6.9会话劫持测试
测试目标
- [ ] 识别易受攻击的会话 cookie
- [ ] 劫持易受攻击的 cookie 并评估风险级别
4.6.10测试 JSON Web 令牌
测试目标
- [ ] 确定 JWT 是否暴露敏感信息
- [ ] 确定 JWT 是否可以被篡改或修改