Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.031 Descartar datos de sesión del usuario

En el presente documento se detallan los requerimientos de seguridad relacionados al manejo de sesiones y variables de sesión de las aplicaciones. Por lo tanto, se recomienda que una vez cerrada la sesión del usuario, el sistema elimine toda la información relacionada a este.

Requisito

Al cerrarse la sesión de un usuario (automática o manual) se debe descartar los datos relacionados con la sesión del usuario.

Referencias

  1. OWASP-ASVS v3.1-2.12 Verify that all authentication decisions can be logged, without storing sensitive session identifiers or passwords. This should include requests with relevant metadata needed for security investigations.

  2. OWASP-ASVS v3.1-3.2. Verificar que la sesiones sean invalidadas cuando el usuario cierre sesión.

  3. OWASP-ASVS v3.1-9.14 Verificar que los datos autenticados sean eliminados del almacenamiento del cliente, como el DOM del navegador una vez finalice la sesión o el cliente.

  4. NIST 800-53 AC-12 Cierre de sesión: El sistema de información debe terminar la sesión del usuario cuando se presente una condición o evento definido por la organización que requiera la terminación de la sesión.


Estado de los servicios - Términos de Uso