Lors d’un de ces audits, un élément intéressant nous a été remonté : si un utilisateur se déconnecte, son cookie de session est toujours actif, c’est à dire qu’on peut le réutiliser pour être connecté en tant que cet utilisateur. Cela rendrait la plateforme vulnérable aux vols de sessions dans le cas où l’utilisateur se connecterait via un ordinateur infecté par un logiciel qui enregistrerait ses actions.

Commentaires

Vous devez vous inscrire ou vous connecter pour poster un commentaire