Se encuentra en:
Mal uso de la desconexión de sesión en Java
RECU-0587 (Recurso Ejemplo)
- Área: Gestión de Sesiones y Usuarios
- Carácter del recurso: Obligatorio
Introducción
Las credenciales de sesión que no expiran en el servidor HTTP pueden brindar a un atacante tiempo ilimitado para adivinar o utilizar fuerza bruta en una credencial de sesión válida.
Si una cookie de usuario es capturada o atacada por fuerza bruta, el atacante puede usar estas credenciales “estáticas” de sesión para obtener acceso a las cuentas web de dicho usuario.
Este problema es particularmente severo en un ambiente compartido, donde múltiples usuarios tienen acceso a un equipo
Descripción
Este ejemplo de código erróneo es el descriptor de un desarrollo en J2EE donde el parámetro para el timeout de la sesión se define de forma explícita. En este caso el valor se sitúa en -1, que significa que una sesión nunca expira.
Ejemplos
<web-app>
[...snipped...]
<session-config>
<session-timeout>-1</session-timeout>
</session-config>
</web-app>
Contenidos relacionados
Pautas
| Código | Título | Tipo | Carácter | |
|---|---|---|---|---|
| LIBP-0312 | Desconexión de la sesión | Libro de pautas | Directriz | Obligatoria |
