Session Token Format

• Categoría:

• AuthenticationSessionManagement

• Referencia:

• OWASP-AUTHSM-005

Descripcion:

Esta prueba evalúa el formato del token de sesión, si el token se guarda en el historial del navegador (caché) y la persistencia de éste.

Herramientas recomendadas:

• Burp Suite
• OWASP ZAP (Zed Attack Proxy)

Recomendaciones para realizar la prueba:

Usa herramientas como Burp Suite o F12 (DevTools) para verificar el almacenamiento en caché. Si por ejemplo empleas DevTools, ve a la parte de Application y observa la persistencia del token de sesión, su formato, y si es almacenado en la caché. Cierra la sesión y comprueba que el token sea nuevo.

Configura que el token de sesión se elimine al cerrar la sesión (OWASP-AUTHSM-004). El token debe ser lo suficientemente largo para evitar ataques de fuerza bruta. Un buen estándar es utilizar al menos 128 bits (16 bytes) de entropía y codificar el token en un formato seguro, como Base64URL, para evitar problemas con caracteres no seguros en la transmisión.