大多数应用程序通过Cookie来维持用户的会话,这可能是非常脆弱的。
网络语言(例如Java,.NET)提供会话管理,这是经过完善的开发和安全测试的。使服务器软件的版本保持最新。自己开发会话管理风险很大,只有具备一定的专业知识才能进行。
确保会话所使用的cookie值长度足够长。较短长度或可预测的会话Cookie值使攻击者有可能对会话进行预测,劫持或执行其他攻击。在会话配置中使用高安全性设置。
M9 - Improper Session Handling
CWE 613