3.失效的驗證和會話管理

失效的驗證和會話管理( Broken Authentication ancl Session Management)指Web應用程序中與身份認證和會話管理相關的代碼功能往往沒有正確實現，導致攻擊者破壞口令、密鑰、會話令牌或攻擊其他的漏洞去冒充其他用戶的身份。

Web應用通常使用用戶ID和口令來進行用戶認證，并使用會話來保存每個用戶的請求流。因為HTTP協議本身并不提供這樣的功能，所以Web應用程序和環境須自己提供會話能力，妥善保護開發人員自己創建的會話token以免攻擊者劫持活躍會話。但如果編寫這些代碼時存在安全缺陷，則可能導致出現sesslon或cookies內所存的數據泄漏。