使用CodeQL分析未启用HttpOnly属性的Cookie问题

最新推荐文章于 2024-08-27 09:30:00 发布
最新推荐文章于 2024-08-27 09:30:00 发布
阅读量324 收藏
点赞数
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XvrgMatlab/article/details/133667379
版权
安全 专栏收录该内容
87 篇文章 6 订阅 ¥59.90 ¥99.00
订阅专栏
本文介绍了HttpOnly属性在防止跨站脚本攻击中的重要性,详细说明了如何使用CodeQL进行静态代码分析,查找并修复未启用HttpOnly属性的Cookie,以提高Web应用的安全性。
摘要由CSDN通过智能技术生成

在Web应用程序开发中,Cookie是一种常见的机制,用于存储用户会话信息和跟踪用户状态。然而,如果Cookie未启用HttpOnly属性,可能会导致安全风险,使得恶意攻击者能够通过客户端脚本访问Cookie,从而可能导致会话劫持和其他安全漏洞。在本篇文章中,我们将探讨如何使用CodeQL来分析并解决未启用HttpOnly属性的Cookie问题。

什么是HttpOnly属性

HttpOnly是一个Cookie属性,它可以通过在服务器响应中设置"Set-Cookie"标头来启用。当HttpOnly属性设置为true时,浏览器将禁止通过客户端脚本(如JavaScript)访问Cookie。这样可以有效地防止跨站脚本攻击(XSS)和其他安全威胁。

使用CodeQL分析未启用HttpOnly属性的Cookie问题

CodeQL是一种强大的静态代码分析工具,可用于发现和修复软件中的安全漏洞。它使用一种声明式查询语言来搜索源代码中的潜在问题,并生成相应的警告或错误。

要使用CodeQL分析未启用HttpOnly属性的Cookie问题,我们需要创建一个CodeQL查询,该查询将扫描源代码以查找设置了Cookie但未启用HttpOnly属性的位置。以下是一个示例查询:


                

                
                
        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        

    

      

        

            

              
                
                  XvrgMatlab
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
【系统安全cookie设置Httponly属性设置Secure标识

				
			

			

				

					Tastill的博客
				

				

					12-11
					
					1万+
					
				

			

		

		

			
				
第三方公司做了系统安全测试,提出了这个问题。

详细描述
			会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。
			
			HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Ex...

			
		

	



                

            
              



	

		

			

				
					
安全检测:会话cookie中缺少HttpOnly属性

				
			

			

				

					qq_37432174的博客
				

				

					01-02
					
					6732
					
				

			

		

		

			
				
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性;
刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。
什么是HttpOnly?...

			
		

	



              


  
              

                


	

		

			

				
					
信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

					
最新发布

				
			

			

				

					ZL_1618的博客
				

				

					08-27
					
					964
					
				

			

		

		

			
				
漏洞扫描是指对网络应用、服务器等进行全面的安全检测,以发现其中存在的安全漏洞,从而及时修复,确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试,即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具:Nessus:开源的漏洞扫描工具,可用于扫描多种操作系统和应用程序漏洞,并提供了详细的用户和管理员报告。Acunetix:自动化的漏洞扫描工具,支持扫描 Web 应用、网络、API 等,能够发现多种漏洞类型。

			
		

	





	

		

			

				
					
安全问题-Cookie设置HttpOnly&&Cookie设置Secure标识

				
			

			

				

					大河向东流的博客
				

				

					10-24
					
					1万+
					
				

			

		

		

			
				
阿里机测的系统漏洞(懒得打字,给报告部分截图):





问题解决:
过滤器处理一下就行了
CookieFilter.java
import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Local...

			
		

	



		

			
		



	

		

			

				
					
cookiehttponly问题

				
			

			

				

					左直拳的马桶_日用桶
				

				

					06-01
					
					1247
					
				

			

		

		

			
				
更奇怪的是,进一步调试,发现别的cookie都能顺利更新,唯独这个token不行。这代表该cookie无法被javascript操纵,既不能读取,更不能更改或删除,所以就无法被前端脚本所操作,只能是浏览器自己玩。cookie里的token还是旧的,这样的话,到后台请求资源,带上的token还是旧的,系统认为没有登录,于是退出,又回到了登录界面。鉴于“token”这个名字,差不多等于系统保留字,猜测是后台调用了其他系统返回所导致,覆盖了我们自己那个。于是将“token”改为“mytoken”,以进一步观察。

			
		

	





	

		

			

				
					
Cookie没有HTTP Only标志漏洞

				
			

			

				

					waitle500的博客
				

				

					01-26
					
					2677
					
				

			

		

		

			
				
Cookie没有HTTP Only标志漏洞

			
		

	





	

		

			

				
					
cookie设置httpOnly和secure属性实现及问题

				
			

			

				

					01-03
				

			

		

		

			
				
### Cookie设置httpOnly和secure属性实现及问题  #### 一、引言 在现代Web开发中,保护用户的隐私和数据安全至关重要。其中一种常见的做法就是通过设置Cookie的`httpOnly`和`secure`属性来增强安全性。这两个属性...

			
		

	





	

		

			

				
					
httpwebreqeust读取httponlycookie方法

				
			

			

				

					08-31
				

			

		

		

			
				
但有时开发者需要在服务器端代码中处理这些`HttpOnly` Cookie,例如在使用`HttpWebRequest`类进行网络请求时。本文将详细介绍如何在C#中使用`HttpWebRequest`读取`HttpOnly`的Cookie。  首先,`HttpWebRequest`对象...

			
		

	





	

		

			

				
					
PHP设置CookieHTTPONLY属性方法

				
			

			

				

					10-20
				

			

		

		

			
				
总的来说,启用HTTPOnly属性可以有效提高网站的安全性,因为它阻止了JavaScript对敏感Cookie的访问,从而降低了XSS攻击的风险。但请注意,HTTPOnly并不能防止所有类型的攻击,例如跨站请求伪造(CSRF)等。因此,综合...

			
		

	





	

		

			

				
					
使用HttpOnly提升Cookie安全

					
热门推荐

				
			

			

				

					zzzmmmkkk的专栏
				

				

					09-01
					
					9万+
					
				

			

		

		

			
				
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。


随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,

			
		

	





	

		

			

				
					
Django检测到会话cookie中缺少HttpOnly属性手工复现

				
			

			

				

					骑上单车去旅行的博客
				

				

					04-03
					
					1305
					
				

			

		

		

			
				
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。第一步:复制URL:http:192.168.43.219在浏览器打开,使用F12调试工具;第二步:选择Application,点击Cookies查看csrftoken的Value信息;第三步:选择Console,输入命令alert(document.cookie);

			
		

	





	

		

			

				
					
Cookie没有HTTP Only标志漏洞

				
			

			

				

					Min_Monk的博客
				

				

					11-06
					
					4148
					
				

			

		

		

			
				
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。



HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...

			
		

	





	

		

			

				
					
检测到会话cookie中缺少HttpOnly属性

				
			

			

				

					lxyoucan的博客
				

				

					07-15
					
					1758
					
				

			

		

		

			
				
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。

			
		

	





	

		

			

				
					
会话Cookies被标记为HTTPOnly /Secure

				
			

			

				

					weixin_45596492的博客
				

				

					03-24
					
					8858
					
				

			

		

		

			
				
会话Cookies被标记为HTTPOnly



漏洞描述

如果在cookie上设置了HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。

漏洞影响

如果cookie设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。

修复建议

通常建议对所有的cookie都设置HttpOnly标志。 除非你特别要求在你的应用程序中,通过合法的

			
		

	





	

		

			

				
					
没有设置 HttpOnly 标志的 Cookie

				
			

			

				

					m0_47005349的博客
				

				

					05-31
					
					1307
					
				

			

		

		

			
				
PHP中的设置
PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
 session.cookie_httponly = 

设置其值为1或者TRUE,来开启全局的CookieHttpOnly属性,当然也支持在代码中来开启:
<?php
  ini_set("session.cookie_httponly", 1); 
 // or
  session_set_cookie_params(0, NULL, NULL, NULL, TRUE

			
		

	





	

		

			

				
					
Cookie 信息泄露 Cookie设置http only属性 原理以及修复方法

				
			

			

				

					it知识分享 free for nothing..
				

				

					03-18
					
					1086
					
				

			

		

		

			
				
Cookie 信息泄露 Cookie设置http only属性 原理以及修复方法

			
		

	





	

		

			

				
					
安全修复之Web——会话Cookie中缺少HttpOnly属性

				
			

			

				

					CN華少的博客
				

				

					05-02
					
					1718
					
				

			

		

		

			
				
安全修复之Web——会话Cookie中缺少HttpOnly属性
背景
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。
开发环境

系统:windows10
语言:Golang
g...

			
		

	





	

		

			

				
					
360监测显示:cookie没有httponly标志解决方法

				
			

			

				

					weixin_30952535的博客
				

				

					08-18
					
					192
					
				

			

		

		

			
				
转载:https://blog.csdn.net/qq_35624642/article/details/72979056
360监测显示:cookie没有httponly标志解决方法

转载于:https://www.cnblogs.com/SmallMountain/p/9497477.html

			
		

	





	

		

			

				
					
安全httponly samesite http cookie属性并设置cookie说明

				
			

			

				

					weixin_26711867的博客
				

				

					09-04
					
					2517
					
				

			

		

		

			
				
Cookies are the most common method to add temporary persistency to websites. They are used in most websites and we know their consent banners. HTTP Cookies can contain crucial and confidential data, t...

			
		

	





	

		

			

				
					
Cookie 加入 httponly 属性测试方法

				
			

			

				

					05-18
				

			

		

		

			
				
Cookie 加入 httponly 属性可能会导致 Web 应用程序面临 XSS(跨站脚本攻击)风险。攻击者可以通过 JavaScript 访问设置 httponly 属性Cookie,从而窃取用户的会话信息或执行其他恶意操作。

为了测试 Cookie 是否设置了 httponly 属性,可以按照以下步骤进行:

1. 打开浏览器的开发者工具,并切换到 Network 选项卡。在地址栏中输入被测试的网站地址,然后按回车键访问该网站。
2. 在 Network 选项卡中找到请求标头中的 Set-Cookie 响应头信息,查看是否包含了 httponly 属性。如果包含 httponly 属性,则说明该 Cookie 存在安全风险。
3. 如果 httponly 属性设置,则可以通过修改应用程序代码,为 Cookie 设置 httponly 属性,以提高应用程序的安全性。

需要注意的是,测试 Cookie 是否设置了 httponly 属性可能需要具备一定的网络安全知识和技能。建议在网络安全专业人士的指导下进行测试。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值