• 本地会话超时机制
    • 详细描述
    • 建议
    • CWE/OWASP

    本地会话超时机制

    详细描述

    移动设备经常丢失或被盗,攻击者可以利用活动的会话来访问敏感数据,执行事务或在设备所有者的帐户上执行侦察。 此外,如果没有适当的会话超时,应用可能容易受到中间人攻击的数据拦截。

    建议

    任何时间应用程序不使用超过5分钟,终止活动会话,将用户重定向到登录屏幕,确保没有应用程序数据可见,并要求用户重新输入登录凭据以访问 应用程序。

    超时后,还要丢弃和清除与用户数据相关联的所有内存,包括用于解密数据的任何主密钥 (参考 2.5 在内存中安全的存储敏感数据)

    此外,确保客户端和服务器端都发生会话超时,以减轻攻击者修改本地超时机制。

    CWE/OWASP

    • OWASP Mobile Top 10: M9 - Improper Session Handling
    • CWE: CWE-613 - Insufficient Session Expiration