Przeprowadziliśmy test bezpieczeństwa na naszej witrynie i wykryliśmy lukę w zabezpieczeniach.Kończenie identyfikatora sesji na serwerze
Issue
Jeżeli identyfikator sesji były znane przez atakującego, który miał dostęp do stacji roboczej użytkownika, wylogowanie sesji mogą być dostępne za pomocą cookie sesji, gdy użytkownik rozwiązał swoją sesję .
Zalecenie
Upewnij się, że identyfikatory sesji zostały prawidłowo zakończone po stronie serwera gdy funkcja jest wywoływana wylogowania.
Kod
Kod obecnie robi to (jeśli użytkownik kliknie przycisk „wylogowania”)
FormsAuthentication.SignOut();
Roles.DeleteCookie();
Session.Clear();
Nie jestem pewien, jak sprawdzić „zapewniają, że są identyfikatory sesji poprawnie zakończone po stronie serwera po wywołaniu funkcji wylogowania. "
Zrobiłem kilka badań i myślę, że powinienem to zrobić zamiast tego?
Session.Abandon();
Jeśli nie, co mam robić? (Nie jestem całkowicie pewien jak to przetestować ...)