https://wiki.owasp.org/index.php?action=history&feed=atom&title=4.7_Test_de_management_de_sessions4.7 Test de management de sessions - Revision history2026-04-08T03:14:51ZRevision history for this page on the wikiMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=4.7_Test_de_management_de_sessions&diff=185611&oldid=prevJcpraud: Created page with "{{Template:OWASP Testing Guide v4}} ''' 4.7 Test de management des sessions''' ---- Le mécanisme qui contrôle et maintient l'état d'une session utilisateur est un des pri..."2014-11-19T21:28:16Z<p>Created page with "{{Template:OWASP Testing Guide v4}} ''' 4.7 Test de management des sessions''' ---- Le mécanisme qui contrôle et maintient l'état d'une session utilisateur est un des pri..."</p>
<p><b>New page</b></p><div>{{Template:OWASP Testing Guide v4}}<br />
<br />
''' 4.7 Test de management des sessions'''<br />
----<br />
<br />
Le mécanisme qui contrôle et maintient l'état d'une session utilisateur est un des principaux composants d'une application web. Ceci s'appelle le management des sessions et se definit par tout ce qui assure le contrôle des états et des interactions entre un utilisateur et une application web. Cela couvre en gros tout ce qui se passe entre l'authentification et la déconnection de l'utilisateur.<br />
<br />
HTTP est un protocole sans états, c'est-à-dire que les serveurs web répondent aux requêtes des clients sans les relier entre elles. La plus simple logique applicative nécessite qu'un utilisateur fasse plusieurs requêtes qui doivent être reliées entre elles au sein d'une session. Cela nécessite des solutions tierces - soit des couches middleware ou des solutions web applicatives, soit des développements spécifiques. La plupart des environnements applicatifs, comme ASP ou PHP, fournissent aux développeurs des mécanismes intégrés de gestion de sessions. Dans la plupart des cas, un jeton d'identification est généré, qui contiendra un "ID de session" ou un cookie.<br />
<br><br />
<br />
Une application web peut interagir avec un utilisateur de plusieurs façons. Cela va dépendre de la nature du site et des exigences en matière de sécurité et de disponibilité de l'application. Bien qu'il y existe des bonnes pratiques répandues en matière de développement d'application, comme celles décrites dans [[OWASP Guide Project|OWASP Guide to Building Secure Web Applications]], il est important que la sécurité applicative soit considérée dans le contexte des exigences et des attentes des parties prenantes.<br />
<br />
Ce chapitre est consacré aux sujets suivants :<br />
<br><br />
<br />
[[Testing for Session_Management_Schema (OTG-SESS-001)|4.7.1 Test de détournement de session (OTG-SESS-001)]] <br />
<br />
[[Testing for cookies attributes (OTG-SESS-002)|4.7.2 Test des attributs de cookies (OTG-SESS-002)]] <br />
<br />
[[Testing for Session Fixation (OTG-SESS-003)|4.7.3 Test pour la fixatio nde session (OTG-SESS-003)]] <br />
<br />
[[Testing for Exposed Session Variables (OTG-SESS-004)|4.7.4 Test de variables exposées (OTG-SESS-004)]] <br />
<br />
[[Testing for CSRF (OTG-SESS-005)|4.7.5 Test de Cross Site Request Forgery (CSRF) (OTG-SESS-005)]] <br />
<br />
[[Testing for logout functionality (OTG-SESS-006)|4.7.6 Test de déconnexion (OTG-SESS-006)]] <br />
<br />
[[Test Session Timeout (OTG-SESS-007)|4.7.7 Test d'expiration de session (OTG-SESS-007)]]<br />
<br />
[[Testing for Session puzzling (OTG-SESS-008)|4.7.8 Test de Session puzzling (OTG-SESS-008)]]</div>Jcpraud