会话标识未失效漏洞

简介： Session 是应用系统对浏览器客户端身份认证的属性标识，在用户注销或关闭浏览器时，系统应将客户端Session 认证属性标识清空
危害： 如果未能清空 Session 认证会话，该认证会话将持续有效，此时攻击者获得该Session 认证会话会导致用户权限被盗取
漏洞挖掘： 1、登录状态点击注销，浏览器后退，若返回数据说明存在漏洞；若跳转登录页面说明无漏洞 2、登录状态点击注销，重复发送带有之前sessionID的数据包，若有数据返回说明存在漏洞 3、登录状态，长时间未操作(根据业务需求)仍然可进行访问和操作
修复建议： 1、在用户注销或退出应用系统时，服务器应及时销毁Session认证会话信息并清空客户端浏览器Session属性标识 2、对每个生成的Session认证会话配置生命周期

会话标识未失效漏洞最先出现在Python成神之路。