Seesion会话超时时间测试, Cookie仿冒测试, 密文比对认证测试
本地加密传输测试-业务安全测试实操(2)_luozhonghua2000的博客-CSDN博客
测试原理和方法
在用户成功登录系统获得Session认证会话后,该Session认证会话应具有生命周期,即用户在成功登录系统后,如果在固定时间内 (例如10分钟) 该用户与服务器无任何交互操作,应销毁该用户Session认证会话信息,要求用户重新登录系统认证。
测试过程
对系统会话授权认证时长进行测试,并根据系统承载的业务需求来分析判断当前系统会话授权认证时间是否过长。测试流程如图 所示。
步骤一:对已登录授权的系统页面使用Burp Suite工具进行请求数据截取,将数据包中Session认证参数值进行保存记录,如图 所示。
