Web安全防护技术之失效的验证和会话管理

3.失效的验证和会话管理

失效的验证和会话管理( Broken Authentication ancl Session Management)指Web应用程序中与身份认证和会话管理相关的代码功能往往没有正确实现，导致攻击者破坏口令、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份。

Web应用通常使用用户ID和口令来进行用户认证，并使用会话来保存每个用户的请求流。因为HTTP协议本身并不提供这样的功能，所以Web应用程序和环境须自己提供会话能力，妥善保护开发人员自己创建的会话token以免攻击者劫持活跃会话。但如果编写这些代码时存在安全缺陷，则可能导致出现sesslon或cookies内所存的数据泄漏。