Item | 验证内容 | 等级 | |||
1 | 2 | 3 | |||
V2.1 | 验证应用系统使用的是框架自带的会话管理机制。 | V | V | V | |
V2.2 | 验证当用户注销时,服务器会销毁session。 | V | V | V | |
V2.3 | 验证当经过一段时间的闲置未操作时,应用系统会自动注销会话。 | V | V | V | |
V2.4 | 验证在所有需要认证才能访问的页面上都存在注销功能。 | V | V | V | |
V2.5 | 验证session id只存在于cookie字段中,而不会泄漏在URL、错误信息以及日志中。 | V | V | V | |
V2.6 | 验证用户注销时session id会被清除或改变。 | V | V | V | |
V2.7 | 验证应用系统使用“httponly”属性保护cookie不被JS脚本读取。 | V | V | V | |
V2.8 | 验证应用系统使用“secure”属性保护cookie只在加密通道中传输。 | V | V | V | |
V2.9 | 验证应用系统会在用户登录后改变session id来防止会话定置攻击。 |
| V | V | |
V2.10 | 验证应用系统会在用户进行二次身份认证后改变session id。 |
| V | V | |
V2.11 | 验证应用系统只使用框架产生的session id。 |
| V | V | |
V2.12 | 验证应用系统使用的session id具有足够的长度、复杂度和随机性。 |
| V | V | |
V2.13 | 验证使用cookie进行身份验证的会话令牌是否将其路径设置为该站点的适当限制值。不应设置域cookie属性限制,除非是针对业务需求,如单点登录。 |
| V | V | |
V2.14 | 验证应用系统不允许在不同的机器上同时并发相同的session。 |
| V | V | |
V2.15 | 验证可通过管理接口配置session最长有效期,当session超过有效期时会被强制注销。 |
|
| V |
Web 应用安全验证标准之二 -- 会话管理Session
最新推荐文章于 2024-05-23 14:06:20 发布