Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + Tecnología especializada
DXST - SAST - IAST - SCA - DevSecOps
Caja blanca - Caja gris - Caja negra
Atacando Aplicaciones Web, APIs, Apps Móviles,
Cliente Servidor, Servidores, Redes, Dispositivos IoT
IoT SCI: Sistemas de Control Industrial

REQ.031 Descartar datos de sesión del usuario

En el presente documento se detallan los requerimientos de seguridad relacionados al manejo de sesiones y variables de sesión de las aplicaciones. Por lo tanto, se recomienda que una vez cerrada la sesión del usuario, el sistema elimine toda la información relacionada a este.

Requisito

Al cerrarse la sesión de un usuario (automática o manual) se debe descartar los datos relacionados con la sesión del usuario.

Referencias

  1. OWASP-ASVS v3.1-2.12 Verify that all authentication decisions can be logged, without storing sensitive session identifiers or passwords. This should include requests with relevant metadata needed for security investigations.

  2. OWASP-ASVS v3.1-3.2. Verificar que la sesiones sean invalidadas cuando el usuario cierre sesión.

  3. OWASP-ASVS v3.1-9.14 Verificar que los datos autenticados sean eliminados del almacenamiento del cliente, como el DOM del navegador una vez finalice la sesión o el cliente.


Estado de los servicios - Términos de Uso