Недавно я присоединился к нам в качестве инженера по кибербезопасности и обнаружил проблему, связанную с фиксацией сеанса. Вот что я заметил: на главной странице я получаю идентификатор своего первого сеанса. Когда я вхожу в систему как пользователь, сохраняется тот же идентификатор сеанса. После переключения на другую учетную запись тот же идентификатор сеанса сохраняется. Такое же поведение наблюдается и на странице администратора. Ниже приведены несколько примеров идентификаторов сеансов для каждого сценария:
Код: Выделить всё
fb2e77d.47a0479900504cb3ab4a1f626d174d2d - Home Page
fb2e77d.47a0479900504cb3ab4a1f626d174d2d - First User Login
fb2e77d.47a0479900504cb3ab4a1f626d174d2d - Second User Login
fb2e77d.47a0479900504cb3ab4a1f626d174d2d - Admin Login
Это означает, что идентификатор сеанса не восстанавливается после входа в систему, что является уязвимостью безопасности.
Куда следует отнести положительный или ложный положительный результат? , ложноотрицательный и отрицательный результат?
Подскажите мне эту проблему
Подробнее здесь:
https://stackoverflow.com/questions/792 ... pplication
Мобильная версия