Незавершение сессии (Insufficient Session Expiration) возникает когда веб-сайт позволяет нарушителю повторно использовать старые сертификаты или идентификаторы сессий для авторизации. Незавершение сессии увеличивает незащищенность веб-сайта от нападений, похищающих или имитирующих роль других пользователей.
Поскольку HTTP является свободным протоколом, обычно веб-сайты используют идентификаторы сессий (session ID) , чтобы однозначно идентифицировать пользователя от запроса к запросу. Следовательно, должна сохраняться секретность для каждого идентификатора сессии, чтобы воспрепятствовать возможному одновременному доступу разных пользователей к одной и той же учетной записи. Украденный идентификатор сессии может быть использован для просмотра учетной записи другого пользователя или для выполнения какой-нибудь мошеннической сделки.
Установка завышенного времени жизни сессии увеличивает вероятность удачных попыток определенных атак. Например, злоумышленник может перхватить идентификатор сессии, возможно прослушав сеть или воспользовавшись атакой Межсайтовое Программирование. Конечно, сокращение времени жизни сессии не поможет, если похищенный идентификатор будет немедленно использован. Однако это защитит против продолжающихся переборов идентификаторов сессии. По другому сценарию, пользователь может получить доступ к веб-сайту из совместно-используемого компьютера (в библиотеке, Интернет кафе, или общедоступном рабочем месте). Незавершение сессии может позволить злоумышленнику, используя кнопку «Обратно» броузера, получить доступ к страницам веб-сайта просматриваемых перед этим жертвой.
Большое время жизни сессии увеличивает шансы злоумышленника отгадать правильный идентификатор сессии (session ID). Длительный период времени увеличивает число параллельных и открытых сессий, которые растягивают наборы значений, которые злоумышленник может перебрать.
Пример
В компьютерах для совместного использования (где более одного человека имеют неограниченный доступ к одному компьютеру), Незавершение сессии может быть использовано для просмотра веб-активности другого пользователя. Если функция «Завершить сессию» веб-сайта просто пересылает жертву к первой странице сайта без реального завершения сессии, то другой пользователь может перейти к странице истории браузера и просмотреть страницы посещаемые жертвой. Поскольку время жизни идентификаторов сессий жертвы не истекло, злоумышленник способен увидеть сессии жертвы без необходимости авторизации (фактически без прохождения процедуры проверки подлинности).