关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置’Secure’属性(CWE-614:Generation of Error Message Containing Sensitive Information)
什么是HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷?
HTTPS会话里的敏感Cookie没有设置’Secure’属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookie。
HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷构成条件有哪些?
产品没有在HTTPS会话中为Cookie设置’Secure’属性。
HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷会造成哪些后果?
这可能导致cookie在http请求中发送,并使远程攻击者更容易捕获此cookie。
HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷的防范和修补方法有哪些?
添加Secure标志。Secure属性是防止信息在传递的过程中被监听捕获造成信息泄漏。当Secure标志的值被设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,即只能在 HTTP