【安全问题】加密会话(SSL)Cookie 中缺少 Secure 属性

最新推荐文章于 2024-07-16 10:00:00 发布
最新推荐文章于 2024-07-16 10:00:00 发布
阅读量2w 收藏 12
点赞数
分类专栏: Java 文章标签: cookie secure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangliuyu00/article/details/80189069
版权

最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。

用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识别用户。cookie中包含了一个由 name=value 这样信息构成的任意列表,并通过Set-CookieSet-cookie2 HTTP响应(扩展) Headers 首部 将其贴到用户身上去。

场景

用户登录界面,使用openssl生成证书,采用https方式传输,不被外界(攻击者)所截取用户密码等明文信息。

问题

由于session cookie没设置了secure属性,通知浏览器使用https方式连接,cookie中的JSSESSIONID 等其它信息对于攻击者是可见了,没避免中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)。

加密会话(SSL)Cookie 中缺少 Secure 属性

解决

  • Servlet 3.0环境
    直接在web.xml配置以下信息开启 cookie secure属性
<session-config>
  <cookie-config>
    <secure>true</secure>
  </cookie-config>
</session-config>
  • Servlet 3.0以下环境
    设置response 请求头cookile信息,添加Secure属性。对于HttpOnly也是同样,在后面直接添加。
    处理可以写个过滤器filter,对于需要的请求,添加cookile信息,走https传输方式;也可以在特定的MVC 控制器里设置,走https传输方式。
String jSessionId=request.getSession().getId();
response.setHeader("Set-Cookie", "JSESSIONID="+jSessionId+"; Secure;HttpOnly;");

参考:会话cookie中缺少secure属性

写代码的蓝胖子
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密会话SSLCookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话SSLCookie缺少Secure属性问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5158
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
IBM AppScan 安全扫描:加密会话SSLCookie 缺少 Secure 属性 处理办法 ...
weixin_30344795的博客
06-28 811
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:...
快速解决浏览器访问http或者不安全https 地址栏出现不安全或者Not secure
最新发布
qq_44005305的博客
07-16 574
在2018 年开始 google 浏览器 开始对 http 所有的网址都做出了 不安全的提示 ,如这样的话 让很多 http的网址显得很“不安全”在对外展示的时候,不禁给客户留下不好的印象解决此问题的 正规方案当然是 改成 浏览器推荐的 https ,有正规的域名,但是本方案不是本文重点,我们的重点是能够快速通过浏览器配置,屏蔽 “不安全“和 Not secure 这些看起来让人不安的因素接下来我们会分浏览器分别介绍Chrome:1、地址栏 输入 chrome://flags/
加密会话(SSL) Cookie 缺少Secure属性
weixin_33774308的博客
05-18 870
在项目使用appscan扫描的时候出现:处理方法:打开项目的web.config文件,在<system.web>下面增加<httpCookies httpOnlyCookies="true"requireSSL="true"/>注意,加入参数之后,如果继续使用http来访问的时候,如登录需要使用cookie,则这个时候是不能正常读到cookie的...
加密会话SSLCookie 缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
weixin_42249908的博客
05-31 2353
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
Appscan漏洞之加密会话SSLCookie缺少Secure属性
学者-微风
05-14 6109
近期 Appscan扫描出漏洞 加密会话SSLCookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
加密会话(ssl)cookie 缺少 secure 属性_HTTP、会话管理、同源策略
weixin_32263265的博客
01-28 950
最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码Cookie会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记...
会话Cookie未设置Secure属性漏洞
my的博客
01-15 3164
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
Appscan漏洞 之 加密会话SSLCookie 缺少 Secure 属性
arkqyo2595的博客
07-26 902
  近期Appscan扫描出漏洞加密会话SSLCookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理   任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议   给coo...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
nginx 加密会话(ssl)cookie 缺少 secure 属性
07-16
在nginx加密会话sslcookie缺少secure属性secure属性是一个标记,用于确保cookie只能在通过HTTPS安全连接时传输。 缺少secure属性可能会导致安全风险。当缺少secure属性时,如果HTTP请求使用非加密的...
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置‘Secure‘属性(CWE-614)
Tianqi_Wukong的博客
01-20 843
【悟空云课堂】第二十七期:HTTPS会话里的敏感Cookie没有设置’Secure’属性(CWE-614:Generation of Error Message Containing Sensitive Information) 什么是HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷? HTTPS会话里的敏感Cookie没有设置’Secure’属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cookie。 HTTPS会话里的敏感Cookie没有设置’Secure’属性缺陷构成条
因改漏洞而引申了解的Cookie机制!
arkqyo2595的博客
07-26 170
  近期因为修改漏洞:Appscan扫描漏洞:加密会话SSLCookie缺少Secure属性,而涉及到Cookie有关的知识,现结合该漏洞的修复过程和了解的cookie知识总结一下。 一、加密会话SSLCookie缺少Secure属性漏洞概述:   任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,...
Web安全前端常见问题以及修复方法
一杯咖啡的渗透记忆
08-10 2957
Web安全前端常见问题以及处理方法
配置或学习记录 - Web安全漏洞问题解决方案参考
Bingo冲冲冲
10-17 8900
下面是由AppScan测试工具所扫描出的一些Web安全漏洞,将解决方案记录在此。(应用使用了Nginx作为反向代理服务器,本文的解决方案都是基于Nginx配置的) 安全漏洞清单: 解决方案(以下涉及的配置文件指Nginx服务器的配置文件nginx.conf): 1.加密会话SSLCookie缺少Secure属性 2.检测到弱密码套件:不支持完全前向保密、弱密码套件-ROBOT 攻击: 服务器支持易受攻击的密码套件、检测到SHA-1密码套件(这里前端请求使用的是https,http请求请忽略) 3
检测到会话cookie缺少Secure属性
weixin_34262482的博客
06-04 4233
检测到会话cookie缺少Secure属性1详细描述会话cookie缺少Secure属性会导致***者可以通过非HTTPS页面窃取到用户的cookie信息,造成用户cookie信息的泄露。cookieSecure指的是安全性。通过设定cookieSecure,可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问,如果启...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值