Session token in URL

Lexikon webových zranitelností

zpět
Název: Session token in URL
Zařazení: Session management
Závažnost: Informační - Střední

Popis:

Identifikátory relace by se nikdy neměly vyskytovat v URL nebo ve zdrojovém kódu webové stránky. V opačném případě by hrozil:

  • záznam SID kdekoliv na přenosové trase (například do logů)
  • ukládání SID v historii webového prohlížeče
  • únik SID prostřednictvím HTTP hlavičky referer
  • krádež SID prostřednictvím útoků typu Cross-Site Scripting

Aplikace by neměla identifikátory relace přenášet v URL ani v případě, že webový prohlížeč uživatele nepodporuje práci s cookies.