Session Token Length

• Categoría:

• AuthenticationSessionManagement

• Referencia:

• OWASP-AUTHSM-001

Descripcion:

Esta prueba busca evaluar si los tokens de sesión generados por la aplicación son lo suficientemente largos como para resistir intentos de adivinación o predicción por parte de un atacante.

Herramientas recomendadas:

• Burp Suite
• OWASP ZAP (Zed Attack Proxy)

Recomendaciones para realizar la prueba:

Usa herramientas como Burp Suite u OWASP ZAP para obtener el token de sesión. Verifica si los tokens son verdaderamente aleatorios o si siguen algún patrón predecible. Puedes usar herramientas de IA para analizar múltiples tokens generados en diferentes sesiones y ver si es capaz de genera un nuevo token válido.

Genera tokens de al menos 128 bits (16 bytes) de longitud para garantizar una seguridad básica. Para aplicaciones críticas, considera usar tokens de 256 bits.