3.失效的驗(yàn)證和會(huì)話管理

失效的驗(yàn)證和會(huì)話管理( Broken Authentication ancl Session Management)指Web應(yīng)用程序中與身份認(rèn)證和會(huì)話管理相關(guān)的代碼功能往往沒有正確實(shí)現(xiàn)，導(dǎo)致攻擊者破壞口令、密鑰、會(huì)話令牌或攻擊其他的漏洞去冒充其他用戶的身份。

Web應(yīng)用通常使用用戶ID和口令來進(jìn)行用戶認(rèn)證，并使用會(huì)話來保存每個(gè)用戶的請(qǐng)求流。因?yàn)镠TTP協(xié)議本身并不提供這樣的功能，所以Web應(yīng)用程序和環(huán)境須自己提供會(huì)話能力，妥善保護(hù)開發(fā)人員自己創(chuàng)建的會(huì)話token以免攻擊者劫持活躍會(huì)話。但如果編寫這些代碼時(shí)存在安全缺陷，則可能導(dǎo)致出現(xiàn)sesslon或cookies內(nèi)所存的數(shù)據(jù)泄漏。