会话标识

如果站点使用时间限制的会话标识(以 cookie 或参数的形式),那么站点将会拒绝包含到期令牌的请求;可导致站点测试失败。

因此,ADAC 必须能够识别和处理作为受时间限制的会话标识的 HTML 参数或 cookie。ADAC 将为会话标识分配最新的可用值,从而防止应用程序会话过期。

您可以确定 ADAC 是否应自动更新会话标识的值。设置会话标识的状态

  • 登录值:(推荐)发送包含此参数的测试请求时,ADAC 在成功登录后,将以从应用程序接收的值自动更新会话标识。

    建议此状态用于多数参数和 cookie,除非存在设置特定值的特定需要。但是,使用“登录值”会话标识时,若此值在数据库中,那么它有可能到期。
    注: 如果记录登录步骤是多步骤操作的一部分,则将已接收的参数定义为“登录值”不会影响它的使用方式。它将始终被视为“动态”。如需了解详细信息,请参阅多步骤操作

    要在数据库中更新被跟踪的会话标识,请执行以下操作:只需在运行扫描前,访问会话标识发送到的 URL。将发送一个新的会话标识,具有已更新的值。

  • 动态:ADAC 会在“测试”阶段,根据 Web 应用程序在先前测试中设置的新值,自动更新会话标识值(例如,“影子 cookie”)。

    只有您了解到,Web 应用程序将实施要求特定会话标识在某些使用过程中更新的安全措施时,方可选择动态

  • 固定:保留固定值。如果您的 Web 应用程序安全需要会话标识始终具有此值,那么为此会话标识设置一个固定值。

注: 多步骤操作中的参数始终被视为“动态”,即使被定义为“登录值”也是如此。

“探索”阶段,ADAC 自动检测可能是会话标识的 cookie 和 HTML 参数,并将其添加到列表。配置扫描时,您可手动添加认为是会话标识的 cookie 和参数。