Session Not Expired After Logout

Kerentanan session not expired after logout ini kerentanan yang terjadi ketika sebuah sesi pengguna, atau token sesi, tetap valid dan dapat digunakan meskipun pengguna telah secara eksplisit keluar (logout) dari akunnya.

Kerentanan ini ditemukan pada aplikasi target ini. Untuk membuktikannya, login pada aplikasi target dan akses salah satu fitur yang ada atau salah satu endpoint API yang ada Kirim request tersebut ke repeater pada burp suite dan pada aplikasi, lakukan aksi logout dengan melakukan hit pada button logout .

Jika sudah, kirim kembali request yang sebelumnya telah dipindahkan ke burp repeater. Terlihat pada gambar dibawah request tersebut berhasil dikirim dan berhasil menerima respons. Padahal seharusnya sesi pengguna tersebut telah usang/kadaluarsa/tidak aktif/dihancurkan karena pengguna telah melakukan logout.

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousBroken Authentication on Transfer NextWebview via Deeplink Vulnerabilty

Last updated 4 months ago