0
我做了一個小樣本測試,發現我測試的幾乎所有網站都受到漏洞的限制,即使我從瀏覽器註銷後,仍然可以訪問受限頁面(即需要登錄的頁面)如果我在登錄時保存cookie。使用保存的會話cookie進行回放
該測試非常簡單。我只是在之後重播了Fiddler 中的一個web請求,我從瀏覽器中註銷了。例如,使用outlook.com登錄後,我可以重播顯示地址簿的頁面,並仍然獲取我的聯繫人的電子郵件地址。
我可以知道行業標準是什麼嗎?因爲我有一位客戶堅持修復此漏洞,但不想增加硬件規格。