Безопасность веб-приложений

Question

Я тестирую веб-приложение на наличие проблем безопасности и столкнулся со следующим сценарием:

1. Пользователь входит в приложение.Приложение устанавливает сеансовые файлы cookie в браузере.
2. Пользователь отключает файлы cookie в браузере во время проверки подлинности.Я знаю, это звучит странно, но, возможно, браузер пользователя каким-то образом эксплуатируется.
3. Пользователь выходит из системы, но приложение не может удалить сеансовые куки в браузере.Приложение не выдает предупреждение об этом пользователю и ведет себя так, как будто он правильно вышел из системы.
4. Сеансовые куки-файлы приложения, срок действия которых истекает один час с момента последнего запроса, остаются вбраузер, которым может воспользоваться другой пользователь.

У меня такой вопрос, следует ли считать это уязвимостью в приложении или весь сценарий слишком надуман, чтобы о нем беспокоиться?Я полагаю, что поскольку приложение использует исключительно куки-файлы для аутентификации и управления сеансами, оно должно предупредить пользователя о невозможности удалить куки-файлы во время выхода из системы и дать ему указание вручную очищать куки-файлы для обеспечения безопасности.

Ценю ответы!

Answer 1

Если что-то, что пользователь делает, может подорвать вашу систему безопасности, тогда существует дыра в безопасности.

В этом случае я бы предложил серверу сохранить список (таблицу БД или другое долговременное хранилище) установленных файлов cookie икогда пользователь выходит из системы, удалите его cookie из списка.Если вы позже увидите файл cookie, он не будет принят, потому что его нет в списке.