1. 问题说明
测试移动客户端在一定时间内无操作后,是否会使会话超时并要求重新登录,超时时间设置是否合理,如果设置有问题就可能存在会话被攻击者获取后造成长期劫持。
2. 测试步骤
一段时间(如 20 分钟)不进行操作,检测应用是否会要求用户重新登录。
退出应用后重新打开,检测应用是否要求用户重新登录。
当然这个需要根据 APP 的类型做相应的评判,比如是 QQ、微信这种聊天类型的对于会话安全设置就可以忽略或者时间设置长一点,而对于金融类的则为了安全起见还是建议设置会话超时时间。
3. 修复建议
建议在移动客户端编写会话安全设置的逻辑,当 20 分钟或 1 小时无操作时自动退出登录状态或是关闭移动客户端。
若有收获,就点个赞吧
0 人点赞
