세션 파기가 제대로 되지 않을 경우 공격자가 세션 정보를 취득하여 시스템에 접근할 수 있다.
따라서 세션 타임 아웃 설정을 통해 서버에서 이용되는 모든 세션 자원이 파기 되는지 확인한다.
세션의 타임아웃은 두 가지 방법으로 설정할 수 있다. (20분으로 설정)
1. web.xml 파일에서 <session-config> 태그를 사용
<session-config>
<session-timeout>20</session-timeout>
</session-config>
2. session 기본 객체가 제공하는 setMaxInactiveInterval() 메소드를 사용
session.setMaxInactiveInterval(20 * 60);