tomcat扫描漏洞:Cookie without HttpOnly flag set

最新推荐文章于 2023-09-06 15:09:30 发布
最新推荐文章于 2023-09-06 15:09:30 发布
阅读量6.4k 收藏 3
点赞数
分类专栏: 系统 tomcat javaee java 文章标签: java web springmvc tomcat springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oatmeal2015/article/details/93509461
版权
java 同时被 3 个专栏收录
30 篇文章 0 订阅
订阅专栏
javaee
25 篇文章 0 订阅
订阅专栏
系统
15 篇文章 0 订阅
订阅专栏

今天收到一份项目bug的扫描漏洞:

然后搜索资料解决方法:

1 设置设置Tomcat 的 web.xml中的session-config标签文件:

<session-config>
        <session-timeout>30<session-timeout>
        <cookie-config>
           <secure>true<secure>
           <http-only>true<http-only>
        </cookie-config>
<session-config> 

2 在Login .jsp主页面加入:
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");

oatmeal2015
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web项目:漏洞修复(1)
nxllong的博客
09-30 468
1.  启用了不安全的 HTTP 方法 任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。   解决方案: 如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢? 解决方法 第一步:修改应用程序的web.xml文件的协议        xmlns:xsi="http://www.w3.org/2001/XMLSchema-
检测到会话cookie中缺少HttpOnly属性
huangbaokang的博客
02-25 2844
tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止HttpOnly: &lt;Context useHttpOnly="true"&gt; ...
2个漏洞X-Frame-Options和Cookie without Secure flag
邢立军的技术专栏
05-24 4474
2.1Clickjacking:X-Frame-Options header missing 漏洞级别:低危 受影响的站点: 序号 受影响站点 截图 2 https://bpo.elite-club.net.cn/gmacsaic-bpo 漏洞危害: 未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下...
session-cookie without secure flag set解决方案
weixin_34034261的博客
11-10 6528
扫出一个session-cookie without secure flag set这个漏洞,在web.xml里加<cookie-config><http-only>true</http-only> <secure>true</secure> </cookie-config>...
cookiesecure、httponly属性设置
conkeyn的专栏
03-04 1827
转载自:http://www.cnblogs.com/alanzyy/archive/2011/10/14/2212484.html 一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体...
常见漏洞
hebtu666
10-22 5631
Cookie without HttpOnly flag set 如果在Cookie上设置了HttpOnly属性,则客户端JavaScript无法读取或设置Cookie的值。 这种措施通过阻止某些客户端攻击(例如跨站点脚本),通过阻止它们通过注入的脚本来简单地捕获cookie的值,使其利用起来略为困难。 robots.txt file robots.txt的存在本身并不表示任何类型的安全...
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
PHP设置CookieHTTPONLY属性方法
10-20
如果你希望在运行时动态开启HTTPOnly,可以使用`ini_set`函数或`session_set_cookie_params`函数。例如: ```php ini_set("session.cookie_httponly", 1); // 或者 session_set_cookie_params(0, NULL, NULL, ...
httpwebreqeust读取httponlycookie方法
08-31
首先,`HttpWebRequest`对象本身并不能直接读取响应头中的`Set-Cookie`字段,尤其是`HttpOnly`标记的Cookie。这是因为`HttpOnly` Cookie设计的初衷就是防止通过JavaScript访问,因此在`HttpWebRequest`的`...
第九节 cookiehttponly设置-01
最新发布
09-15
CookieHttpOnly 设置详解 Cookie 是一种小型文本文件,由 Web 服务器保存在用户浏览器(客户端)上,用来存储用户信息。Cookie 通常用于辨别用户身份、进行 session 跟踪。Cookie 可以包含一些不敏感的信息,如...
burp常见漏洞
yggcwhat
01-19 698
Cookie without HttpOnly flag set 如果在Cookie上设置了HttpOnly属性,则客户端JavaScript无法读取或设置Cookie的值。 这种措施通过阻止某些客户端攻击(例如跨站点脚本),通过阻止它们通过注入的脚本来简单地捕获cookie的值,使其利用起来略为困难。 robots.txt file robots.txt的存在本身并不表示任何类型的安全漏洞。 但是,它通常用于标识站点内容的受限区域或私有区域。 因此,文件中的信息可以帮助攻击者确定站点的内容,尤其是在.
配置类安全问题学习小结
dayouzi的博客
09-06 6832
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
常见web漏洞(awvs、nessus)验证方法小记-低危漏洞
热门推荐
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】未加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL弱加密(主机漏洞漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少HttpOnly标志(Cookie(s) without HttpOnly flag set漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie中缺少secure属性(Cookie(s) wi...
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 3978
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
常见web安全漏洞及修复建议
qq_27990381的博客
07-08 6045
WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 通过把SQL命令插入到Web表单递交或输入域名、页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。 示例: 以输入用户名、密码进行登录校验为例,当程序中存在SQL拼接时,可能发生的SQL注入攻击 代码中使用拼接SQL,验证用户是否存在 JdbcConnection conn = new JdbcConnection(); // 拼接SQL,引起 SQL 注入 String sql = "select * fr
web扫描漏洞解决办法
dpp10683401的博客
03-25 1573
漏洞修改: 1. Apache JServ protocol service漏洞(服务器问题) 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 解决办法:只能是通过关闭8009端口来实现,但是关闭端口之后对Tomcat有影响。 2、HTML form without CSRF protection 问题出在表单提交没有保护,可以伪造一个表单进行提交。 解决办法: 1、form表单:在拦截器初次访问页面或刷新页面时产生序列数,...
AWVS扫描漏洞修改记录
hpc_er的博客
12-17 955
Slow HTTP Denial of Service Attack 原因:当恶意攻击者以很低的速率发起HTTP请求,使得服务端长期保持连接,这样使得服务端容易造成占用所有可用连接,导致拒绝服务 解决办法:将../tomcat/conf/server.xml文件中的connectionTimeout="20000"改为"8000"左右 在${tomcat-home}/conf/server.xml中更改Connector的实现(修改后需重启服务): (1)使用NIO(非阻塞IO)实现替换默认的BIO(阻塞I
最近WEB安全扫描问题汇总
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值