Session Management

Security Checklist

zpět

Black Box Testování:

Je webová stránka s přihlašovacím formulářem načítána přes HTTPS?
Jsou přihlašovací údaje během přihlašovacího procesu odesílány přes HTTPS?
Jsou session identifikátory přenášeny vždy přes HTTPS?
Je šifrovaná komunikace vynucována pomocí HSTS?
Nenačítají HTTPS stránky nejaký obsah (např. obrázky) ze stejné domény přes HTTP protokol?
Nevyskytuje se session identifikátor v URL nebo v HTML kódu stránek?
Nevyskytuje se session identifikátor v URL po vypnutí podpory cookies v prohlížeči?
Ignoruje aplikace session identifikátory předané prostřednictvím GET nebo POST proměnných?
Odmítá server session identifikátory, které sám nevygeneroval?
Je cookie s hodnotou session identifikátoru chráněno příznakem HttpOnly?
Je cookie s hodnotou session identifikátoru chráněno příznakem Secure?
Je session identifikátor náhodný s vysokou entropií?
Je session identifikátor dlouhý minimálně 16 znaků?
Obsahuje session identifikátor minimálně znaky z rozsahu celé abecedy a čísel?
Je po přihlášení změněna hodnota session identifikátoru?
Není možné použít ukradený session identifikátor z jiného počítače (IP adresy, prohlížeče)?
Expiruje session při nečinnosti uživatele nejpozději do jedné hodiny?
Není použit defaultní název pro session cookie?
Je na každé stránce snadno a intuitivně dosažitelný odkaz pro odhlášení?
Dojde při odhlášení skutečně ke zrušení relace, nebo se jen odstraní session cookie?
Obsahuje odkaz pro odhlášení jedinečný token, nebo je jinak chráněn před útoky CSRF?
Obsahuje přihlašovací formulář jedinečný token, nebo je jinak chráněn před útoky CSRF?
Je aplikace chráněna před útoky typu clickjacking HTTP hlavičkou X-FRAME-OPTIONS?
Není možné sdílet jednu session mezi více aplikacemi na stejném serveru?
Gray Box Testování:

Běží aplikace na serveru pod různými uživatelskými účty?
Mají aplikace na serveru oddělené úložiště relací?
Jsou vhodně nastavena přístupová práva k úložišti relací?