Выйти не истекает токены сессии

Недавно мы протестировали проникновение наших приложений Laravel 5.6, и одной из проблем, которые были отмечены, было неправильное задание срока действия при выходе из системы. Черта AuthenticatesUsers вызывает метод invalidate в сеансе, который в основном сбрасывает данные сеанса и восстанавливает идентификатор, но не устанавливает срок его действия.

Согласно отчету, если злоумышленник сможет получить действительный токен сеанса, он сможет взломать учетную запись уязвимого пользователя. Выход пользователя из системы не сделает недействительным сеанс злоумышленника.

Любые указатели здесь будут очень полезны.

Спасибо

/**
* Log the user out of the application.
*
* @param  \Illuminate\Http\Request  $request
* @return \Illuminate\Http\Response
*/
public function logout(Request $request)
{
$this->guard()->logout();

$request->session()->invalidate();

return redirect('/');
}

0

Решение

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]