ログアウト機能の不備や未実装について説明していきます。
■概要
Webアプリケーションではログインを行いセッションが維持されている間、サービスを利用できます。
通常ログアウトを行うとセッションが破棄され、再度ログインをしないとサービスは利用できませんが、ログアウト機能の実装に不備があったり、そもそもログアウト機能が未実装だった場合、ユーザにになりすましてサービスを悪用されてしまう可能性があります。
■想定される被害
ログアウト機能の不備や未実装によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・ユーザなりすましによる意図しない変更、登録などのサービス悪用
・ユーザー情報の窃取
■対策
ログアウト機能の不備や未実装の対策として挙げられるものは以下のようなものとなります。
・ログアウト時にセッションを適切に無効化する。
・セッションの有効期限を短くする。
・ログアウト機能を実装する。