漏洞修复:Cookie Security: Overly Permissive SameSite Attribute

已于 2022-02-08 11:41:33 修改
阅读量3.8k 收藏
点赞数
分类专栏: nginx 文章标签: 安全漏洞
于 2022-02-07 09:49:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CutelittleBo/article/details/122732349
版权
本文介绍了如何通过设置SameSite属性为Strict来保护网站免受CSRF攻击。主要内容包括理解SameSite属性的作用,展示了一个缺失Strict值的session cookie示例,并提供了在nginx和Shiro框架中配置SameSite=Strict的解决方案,确保只在安全上下文中发送cookies。
摘要由CSDN通过智能技术生成

描述

The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). Session cookies represent a user to the site to allow user to perform authorized actions. However, the browser automatically sends the cookies and therefore user and web sites put an implicit trust on the browser for authorization. An attacker can misuse this trust and make a requests to the site on behalf of the user by embedding links inside the href and src attribute of tags such as link and iframe in third-party site pages that an attacker controls. With this, an attacker can trick an unsuspecting user to load this third party site page in the browser while the user still has authorization to the site that the attacker intends to exploit. Set session cookies with the Strict value for the SameSite attribute, which restricts the browser to append cookies only to requests that are either top level navigation or originate from the same site. Requests that originate from third-party site via links in various tags such as iframe, img, and form do not have these cookies and therefore prevent the site from taking action that the user might not have authorized. Cookie should be set with SameSite=Strict. Following cookies used insecure flag value: sid=e7cd0b20-a488-42dc-9c32-d09742142982; Path=/; HttpOnly; SameSite=lax
Inspect the highlighted cookie value in the HTTP response in the vulnerable session. The cookie is missing the SameSite attribute with strict value. Please note that this check depends on Session Token Discovery logic to identify session cookies. It is possible that the identified cookie does not represent a session token. Additional verification might be required to confirm that the identified cookie does contain a session token.

解决方案

!!! 2022年2月8日11:26:25 !!!
经过部署实际测试,在使用nginx作为代理的前提下,在shiro中重复设置sameSite,会导致不发送cookie,所以如果使用了nginx就在nginx配置不要重复在shiro中配置。

nginx
在http下添加 SameSite=Strict是重点!
add_header Set-Cookie “Path=/; HttpOnly; Secure; SameSite=Strict”;
例如:

http{
    add_header Set-Cookie "Path=/; HttpOnly; Secure; SameSite=Strict";
}

shiro
在bean的name为sessionIdCookie和rememberMeCookie下增加
cookie.setSecure(true);
例如:

@Bean(name = "sessionIdCookie")
public SimpleCookie getSessionIdCookie() {
    SimpleCookie cookie = new SimpleCookie("sid");
    cookie.setHttpOnly(true);
    cookie.setSecure(true);
    cookie.setSameSite(Cookie.SameSiteOptions.STRICT);//加入这句
    return cookie;
}

@Bean(name = "rememberMeCookie")
public SimpleCookie getRememberMeCookie() {
    SimpleCookie cookie = new SimpleCookie("rememberMe");
    cookie.setHttpOnly(true);
    cookie.setSecure(true);
    cookie.setSameSite(Cookie.SameSiteOptions.STRICT);//加入这句
    return simpleCookie;
}

参考

https://vulncat.fortify.com/en/detail?id=desc.config.php.cookie_security_overly_permissive_samesite_attribute

https://devnote.pro/posts/10000059221212

https://serverfault.com/questions/849888/add-samesite-to-cookies-using-nginx-as-reverse-proxy

SangBigYe
关注
专栏目录
GEE AI:利用 LLMs 来协助地理空间分析中的规划和代码生成,加快数据处理流程
此星光明博客
09-23 10
我们谷歌研究院科学人工智能部门的使命是实现科学突破和发现,造福人类并从根本上加快科学进步。我们的一个重点领域是通过生成式人工智能和大型语言模型(LLMs)的力量,增强地理空间分析师和科学家的能力。我们的目标是利用 LLMs 来协助地理空间分析中的规划和代码生成,从而大大加快分析师的工作流程。地理空间工作流程自动化的一个重要部分是根据特定的地理空间查询确定哪些数据集最相关。因此,我们最初的重点是建立一个数据集搜索代理,帮助用户找到最适合其分析需求的数据集。
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造
最新发布
qq_43613949的博客
06-19 1283
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造@
具有不安全、不正确或缺少SameSite属性的Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
解决跨域下Cookie的SameSite问题(使用Nginx)
热门推荐
tmyth的专栏
02-16 3万+
#简介 Chrome升级到80版本后,默认限制了跨域携带cookie给后端,笔者在使用iframe跨域引用页面时遇到无法传递cookie的问题,需要设置SameSite属性为None(同时需要设置Secure属性才能生效)来确保线上服务正常。但是,普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,所以本文提出一套使用Nginx来解决SameSite问题的办法(需...
如何关闭A cookie associated with a cross-site resource at ... was set without the SameSite attribute.警告
weixin_44463883的博客
08-31 1345
如何关闭A cookie associated with a cross-site resource at xxx.xxx.xxx.xxx was set without the SameSite attribute.这个警告 如: A cookie associated with a cross-site resource at http://puser.qingdao.gov.cn/ was set without the SameSite attribute. It has been blocked,
漏洞 HTML5: Overly Permissive Message Posting Policy修复方案
qq_40472157的博客
05-29 643
漏洞 HTML5: Overly Permissive Message Posting Policy修复方案
[20][03][23] Cookie Security: Over Broad Path
安全新司机
12-30 1750
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的有效路径, 可以通过同一域名中的其他应用程序访问 2. 问题场景 开发人员经常将 cookie 设置有效路径为 "/" 可以访问, 这将向域名上上的所有 web 应用程序开放 cookie, 由于 cookie 通常携带会话标识符等敏感信息, 跨应用程序共享 cookie 可能导致一个应用程序的漏洞, 从而危及另一个应用程序 Cookie cookie = new Cookie("token", token); co
[20][03][22] Cookie Security: Over Broad Domain
安全新司机
12-24 803
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的域名,将导致被其他应用程序攻击 2. 问题场景 开发人员经常将 cookie 设置在基础域名内使用 (例如: example.com),这将向基础域名和子域名上的所有 web 应用程序公开 cookie,由于 cookie 通常携带会话标识符等敏感信息,跨应用程序共享 cookie 可能导致一个应用程序的漏洞,从而危及另一个应用程序 样例 1 假设您在http://secure.example.com 上部署了一个
Fortify漏洞修复总结
weixin_30677475的博客
09-21 3713
1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。 问题代码: $dir = $_POST['dir'] exec("cmd.exe /c dir" + $dir); 修复方案:(1)程序对非受信的用户输入数据进行净化,删...
overly-complicated-lastfm2spotify:过于复杂的LastFM到Spotify迁移工具
03-08
过于复杂的LastFM到Spotify迁移工具 我在很久以前创建了两个类似的项目: 和 。 我认为它们都不起作用了,所以我考虑了第三次这样做。 这次我想使其更加复杂,因此我可以更多地了解有用的工具和技术,而不必过多地...
fortify修改方案
09-06
This workbook is intended to provide all necessary details and information for a developer to understand and remediate the different issues discovered during the project audit. The information contained in this workbook is targeted at project managers and developers.
Cookie 的 SameSite 属性
weixin_49896519的博客
11-12 346
Cookie 的 SameSite 属性 关于 cookie的问题,本来以为是小毛病,谁知道在一个前端群里居然被人讨论了一上午。 正常启动一个项目,直接登录就可以了,但是有些并不是。 解决方法如下: 方法一 : 1、在线上登录项目,这里指已经发版到线上(SIT、UAT环境均可) 2、启动本地代码,再次登录本地项目 方法二 : 下载一个 【火狐浏览器】 ,直接登录本地项目。 (此方法是我遇到这个问题后直接使用,亲测!) 方法三 : 1.浏览器地址栏输入: chrome://flags/ 2.SameSite
Nginx新增SameSite属性的cookie
pocher的博客
06-13 3225
Nginx新增SameSite属性的cookie
nginx、apache修改set-cookie,实现cookie跨域
xin17863935225的博客
03-07 1794
3:打开终端命令行,先通过 nginx -V 命令获取配置文件的所有模块数据,然后在数据最后追加 --add-module=/www/server/nginx/src/headers-more-nginx-module-0.33。2:解压到服务器某目录下(最好和其他模块放一起):tar -zxvf headers-more-nginx-module-0.33.tar.gz。1:下载安装headers-more-nginx-module模块文件。5:make & make install 重新编译一下。
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx来解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
Web应用安全测试-防护功能缺失
06-14 1501
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
axios(ajax),springboot 跨域携带session
Qc1998的博客
09-01 2304
前端发送跨域请求时默认是不会携带cookie的,后端无法获得sessionId。要解决这一问题,前后端配置分别如下 前端配置 前端通过设置withCredentials: true来解决。如果是在vue中使用axios,需要设置 axios.defaults.withCredentials = true 如果使用的是jQuery的ajax方法 $.ajax({ url : '...
谷歌浏览器跨域丢失Cookie问题
YangzaiLeHeHe的博客
10-23 4661
文章目录谷歌浏览器跨域丢失Cookie问题一、问题背景交代二、分析2.1、整体调用链路2.2、复现2.3、分析三、原因四、解决4.1、治标4.2、治本 谷歌浏览器跨域丢失Cookie问题 一、问题背景交代 公司内部系统A页面内嵌系统B的界面。当在A系统的界面中点击B系统图标跳转时此时跨域,导致跳转后的界面空白,A系统会向B系统发送一些请求参数,而B系统没有拿到这些参数,导致重定向后的界面空白。 二、分析 2.1、整体调用链路 2.2、复现 这个问题在Chrome浏览器【我本地的】100%复现,后来切换到了
托福阅读词汇题集锦:2010年核心词汇
15. overly / excessively - 都表示过分、过度。 16. transmit / convey - 传递、传输信息或思想。 17. integration / union - 结合、一体化,前者更抽象,后者可能指实体的合并。 18. subsequent / later - 后来的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值