3.失效的驗(yàn)證和會(huì)話(huà)管理

失效的驗(yàn)證和會(huì)話(huà)管理( Broken Authentication ancl Session Management)指Web應(yīng)用程序中與身份認(rèn)證和會(huì)話(huà)管理相關(guān)的代碼功能往往沒(méi)有正確實(shí)現(xiàn)，導(dǎo)致攻擊者破壞口令、密鑰、會(huì)話(huà)令牌或攻擊其他的漏洞去冒充其他用戶(hù)的身份。

Web應(yīng)用通常使用用戶(hù)ID和口令來(lái)進(jìn)行用戶(hù)認(rèn)證，并使用會(huì)話(huà)來(lái)保存每個(gè)用戶(hù)的請(qǐng)求流。因?yàn)镠TTP協(xié)議本身并不提供這樣的功能，所以Web應(yīng)用程序和環(huán)境須自己提供會(huì)話(huà)能力，妥善保護(hù)開(kāi)發(fā)人員自己創(chuàng)建的會(huì)話(huà)token以免攻擊者劫持活躍會(huì)話(huà)。但如果編寫(xiě)這些代碼時(shí)存在安全缺陷，則可能導(dǎo)致出現(xiàn)sesslon或cookies內(nèi)所存的數(shù)據(jù)泄漏。