Session Timeout

• Categoría:

• AuthenticationSessionManagement

• Referencia:

• OWASP-AUTHSM-002

Descripcion:

El objetivo es verificar que los tokens de sesión expiran automáticamente después de un tiempo predeterminado de inactividad por parte del usuario, evitando que permanezcan válidos indefinidamente. Esto asegura que incluso si un atacante obtiene el token, su tiempo de explotación estará limitado.

Herramientas recomendadas:

• Burp Suite
• OWASP ZAP (Zed Attack Proxy)

Recomendaciones para realizar la prueba:

Mediante Burp Suite u OWASP ZAP intercepta el token de sesión e investiga durante cuánto tiempo puedes emplear el mismo token.

Configura un tiempo de inactividad razonable para las sesiones (por ejemplo, 15-30 minutos) dependiendo del nivel de seguridad requerido por la aplicación. Invalida el token inmediatamente cuando el usuario cierra sesión.