web应用安全评估报告:会话Cookie未设置Secure属性(如果网站未部署 HTTPS,则无法使用 Secure 属性。)
文章目录
- 引言
- I 低危漏洞: 会话Cookie未设置Secure属性
-
- HTTP Cookie 定义
- 限制访问 Cookie
- 缓解涉及 Cookie 的攻击的方法
- II 漏洞修复
-
- Nginx下设置
- Java解决 Cookie未设置HttpOnly && Cookie未设置Secure标识问题
- Java EE 手工标识secure
- 在设置认证COOKIE时,加入Secure。
- PHP
- ASP.NET
- see also
-
- 漏洞危害分级标准
- php cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法
引言
- 漏洞背景: 当地网安给的 Web 应用安全评估报告,指出会话Cookie未设置Secure属性漏洞。
-
问题:浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。
-
方案: 如果web应用网站全站是https的,可以设置cookie加上Secure属性
- 这样浏览器就只会在https访问时,发送cookie。攻击者即使窃听网络,也无法获取用户明文cookie。
- 在不安全的站点(在 URL 中带有 http://)无法使用 Secure 属性设置的 Cookie 值。
- Secure 属性通常与 HTTPS 一起使用,因此,如果网站未部署 HTTPS,则无法使用 Secure 属性。这可能导致在某些情况下(如开发环境)需要额外的配置或条件逻辑来处理 Cookie。
I 低危漏洞: 会话Cookie未设置Secure属性
<