Skip to content

6、会话管理测试

4.6.1会话管理模式测试

测试目标

  • [ ] 尽可能为同一用户和不同用户收集会话令牌
  • [ ] 分析并确保存在足够的随机性来阻止会话伪造攻击
  • [ ] 修改未签名且包含可操纵信息的 cookie

4.6.2 Cookies 属性测试

测试目标

  • [ ] 确保为 cookie 设置正确的安全配置

4.6.3会话固定测试

测试目标

  • [ ] 分析认证机制及其流程
  • [ ] 强制 cookie 并评估影响

4.6.4测试暴露的会话变量

测试目标

  • [ ] 确保实施正确的加密
  • [ ] 检查缓存配置
  • [ ] 评估通道和方法的安全性

4.6.5跨站请求伪造测试

测试目标

  • [ ] 确定是否可以代表用户发起请求

4.6.6测试注销功能

测试目标

  • [ ] 评估注销 UI
  • [ ] 分析会话超时以及注销后会话是否被正确终止

4.6.7测试会话超时

测试目标

  • [ ] 验证是否存在硬会话超时

4.6.8会话混淆测试

测试目标

  • [ ] 识别所有会话变量
  • [ ] 打破会话生成的逻辑流程

4.6.9会话劫持测试

测试目标

  • [ ] 识别易受攻击的会话 cookie
  • [ ] 劫持易受攻击的 cookie 并评估风险级别

4.6.10测试 JSON Web 令牌

测试目标

  • [ ] 确定 JWT 是否暴露敏感信息
  • [ ] 确定 JWT 是否可以被篡改或修改