失效的身份认证和会话管理
应用描述
身份认证一般仅仅用于登录的过程，用户需提交用户名和口令，对于安全性要求更高的身份认证，有验证码，基于客户端的证书，口令卡等等。HTTP 本身是无状态的，利用会话管理机制来实现连接识剔。当用户完成了身份验证开始访问网站时，不可能每次进行网页的访问都重新进行一次身份验证，因此，当认证成功后，系统会给用户分配一个令牌，每个令牌都是唯一并且不可预测的，这个令牌通常放在cookie 中，之后用户在访问网站中新的网页时，对用户身份的识别只需对这个授权的令牌进行识别。
开发人员通常只关注Web 应用程序的功能，由于这个原因，开发者通常会建立自定义的认证和会话管理方案。但要正确实现这些方案却很难，结果这些自定义的方案往往在退出、口令管理、超时、记住我、秘密问题、账户更新等存在漏洞。因为这些每一个实现都不同，要找出这些漏洞有时会很难。
用户口令和用户令牌是整个Web 应用最重要的部分，攻击者往往会采用网络嗅探、暴力攻击、社会工程等手段来获取这些信息。与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，用户口令或者用户令牌在会话过程中丢失，这就导致了攻击者破坏口令、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份，就会造成失效
的身份认证和会话管理。任何匿名的外部攻击者和拥有账号的用户都可能试图盗取其他用户账号。同样也会有内部人员为了掩饰他们的行为而这么做。
(1)可利用性
攻击者使用认证或者会话管理功能中的泄露或漏洞，比如，暴露的账号、口令等来假冒用户。
(2) 影响
这些漏洞可能导致部分甚至全部账户遭受攻击。一旦成功，攻击者能执行受害用户的任何操作。因此特权账户是常见的攻击对象。
(3)例子
用户和服务器登录进行身份验证后，与服务器之间的会话没有会话超时限制，这提高了攻击者在线上使用暴力破解用户口令的可能性。
或者用户使用公共计算机浏览网站，登录验证身份之后，离开时没有退出账户而是选择直接关闭浏览器，使得下一个用户使用相同计算机浏览相同浏览器，可以看到上一个用户的对话。