Powered by GitBook

本地会话超时机制

细节

移动设备经常丢失或被盗，攻击者可以利用存活的会话来访问敏感数据，执行交易或对设备所有者的帐户进行侦察。另外，如果没有适当的会话超时，应用程序可能会容易受到中间人攻击，而遭到数据拦截。

修复

若应用程序停止使用时间超过5分钟，终止活动会话，将用户重定向到登录屏幕。确保应用程序数据对外不可见，并要求用户重新登录以访问的应用程序。

超时后，还会丢弃并清除与用户数据相关的所有内存，包括用于解密的任何主密钥（参见最佳实践2.5将敏感数据安全地存储在RAM中）。

此外，请确保客户端和服务端的会话超时机制都会生效，以避免攻击者修改本地超时机制。

参考

OWASP Mobile Top 10: M9 - Improper Session Handling
CWE: CWE-613 - Insufficient Session Expiration

results matching ""

No results matching ""