Insufficient logout

Lexikon webových zranitelností

zpět
Název: Insufficient logout
Zařazení: Session management
Závažnost: Informační - Nízká

Popis:

Ve chvíli odhlášení uživatele od webové aplikace musí dojít ke zrušení relace, nejen ke smazání cookie s hodnotou session identifikátoru.

Během testů je doporučeno zkopírovat si přidělený session identifikátor, odhlásit se od aplikace, nastavit si v prohlížeči zpět původní identifikátor relace a ověřit, zda byla relace skutečně zrušena.

Ověřit byste měli rovněž to, zda po odhlášení se od aplikace a po následném kliknutí na tlačítko zpět v prohlížeči nebudete opět přihlášeni.