我正在测试安全漏洞的Web应用程序,并且遇到以下两种情况。Web应用程序安全
使用代理,我拦截所有通过应用程序的请求并保存所有的cookie。使用这些保存的Cookie,我可以在不同的计算机上恢复会话,并在没有任何进一步身份验证的情况下访问用户的个人信息。我认为任何管理员都可以提供这类服务,并获得网络上所有用户的个人信息。
与情况1相同,但即使在原始用户已正确注销后,我仍能够在其他机器上恢复会话。即即使在原始用户注销并且客户端上的所有与会话相关的cookie被删除之后,会话似乎仍然在服务器上有效。
我相当确定情况2是Web应用程序中的安全漏洞。我想知道情况1是否也可以在技术上被认为是Web应用程序中的漏洞。如果是这样,有什么方法可以解决这个问题?