(1)以正常方式访问应用程序,从第一个进入点(“起始”URL)开始,接着是登录过程,然后是应用程序的全部功能。记录每一个被访问的URL以及收到新会话令牌的每种场合。特别注意登录功能及HTTP与HTTPS通信之间的转换。可以使用网络嗅探器(如Wireshark)手动或使用拦截代理服务器中的日志功能部分自动完成这一任务,如图7-10所示。
图7-10 遍历应用程序,确认收到新会话令牌的位置
(2)如果应用程序使用HTTP cookie传送会话令牌,那么应确认其是否设置了 secure标记,防止它们通过非加密连接传送令牌。
(3)在正常使用应用程序的情况下,确定会话令牌是否通过非加密连接传送。如果确实如此,应将其视为易于受到拦截。
(4)如果起始页面使用HTTP,然后在登录和站点中通过验证的区域转换到HTTPS,确认应用程序是否在用户登录后发布一个新令牌,或者在使用HTTP阶段传送的令牌是否仍被用于追踪用户通过验证的会话。同时确认,如果对登录URL进行相应修改,应用程序是否接受通过HTTP登录。
(5)即使应用程序在每一个页面使用HTTPS,确认服务器是否还监听80端口,通过它运行任何服务或内容。如果是这样,直接使用通过验证的会话访问所有HTTP URL,确认会话令牌是否被传送。
(6)如果通过HTTP将通过验证会话的令牌传送给服务器,确认该令牌是否继续有效,或者立即被服务器终止。