Cookie 缺失secure漏洞修复

最新推荐文章于 2024-06-14 16:04:46 发布
最新推荐文章于 2024-06-14 16:04:46 发布
阅读量9.1k 收藏 3
点赞数 1
分类专栏: 应用安全 文章标签: Cookie 缺失secure secure漏洞修复 Cookie 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/106868745
版权

0x00 漏洞背景

       Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。

       浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。

       如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。

     攻击者即使窃听网络,也无法获取用户明文cookie。

0x01 修复思路

设置cookie时,加入属性httponly,但需要注意几点问题:

1、在cookie类中没有找到设置httponly的方法,目前的jdk版本只支持在setHeader时,设置httponly。

2、httponly已经可以防止用户cookie被窃取,只能增加攻击者的难度,不能达到完全防御XSS攻击。

0x02 代码修复

在设置认证COOKIE时,加入Secure。参考代码:

response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");

服务器配置为HTTPS SSL方式

Servlet 3.0 (Java EE 6)的web.xml 进行如下配置:

<session-config>

<cookie-config>

  <secure>true</secure>

</cookie-config>

</session-config>

ASP.NET的Web.config中进行如下配置:

<httpCookies requireSSL="true" />

php.ini中进行如下配置

session.cookie_secure = True

weblogic中进行如下配置:

<wls:session-descriptor>

     <wls:cookie-secure>true</wls:cookie-secure>

      <wls:cookie-http-only>true</wls:cookie-http-only>

  </wls:session-descriptor>

煜铭2011
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全漏洞Cookie中缺少相关安全属性(HttpOnly、Secure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie中缺少HttpOnly属性;2.Cookie中缺少Secure属性。 HttpOnly属性 浏览器通过document对象获取Cookie。HttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
加密会话(ssl)cookie 中缺少 secure 属性_HTTP、会话管理、同源策略
weixin_32263265的博客
01-28 936
最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码Cookie与会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记...
Web应用安全测试-防护功能缺失
最新发布
06-14 1289
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
AppScan扫描漏洞(中等):加密会话(SSL)Cookie 中缺少Secure属性
weixin_42249908的博客
05-31 2273
AppScan扫描漏洞(中等):加密会话(SSL)Cookie 中缺少Secure属性
会话Cookie未设置Secure属性漏洞
my的博客
01-15 2493
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2020
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
漏洞修复Cookie Security: HTTPOnly not Set on Application Cookie
CutelittleBo的博客
01-28 3892
描述 The web application does not utilize HTTP only cookies. This is a new security feature introduced by Microsoft in IE 6 SP1 to mitigate the possibility of a successful Cross-Site scripting attack by not allowing cookies with the HTTP only attribute to be
cookiesecure属性详解
09-03
当服务器通过Set-Cookie响应头设置一个Cookie时,如果加上`secure`属性,浏览器将会遵循以下规则: 1. **仅在HTTPS中发送**:当用户通过HTTPS与服务器建立安全连接时,浏览器才会将包含`secure`属性的Cookie发送给...
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
SQL+XSS漏洞修复方案
04-13
在本文中,我们将深入探讨这两种漏洞的原理、危害以及如何通过核心代码修复这些问题。 首先,SQL注入是攻击者利用不安全的SQL语句向数据库输入恶意代码,以获取、修改或删除敏感数据。比如,一个简单的登录表单,...
Session Cookie的HttpOnly和secure属性
10-29
首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性...
【安全问题】加密会话(SSL)Cookie 中缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
Web中低危漏洞之加密会话(ssl)Cookie中缺少Secure属性的处理方法
weixin_42715225的博客
09-12 1997
前言 网址使用ssl后,如未对Cookie进行处理,会有中低危漏洞的产生 漏洞呈现 解决 在html静态页面的head部添加如下内容: <meta http-equiv="Expires" content="0"> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Cache-control" content="no-cache,must-revalidate"> <meta http-
加密会话(SSL)Cookie 中缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
cookie安全配置相关漏洞修复
梁吉林的博客
09-23 2195
非会话cookie特征漏洞。表示在设置cookie的时候,没有设置相应的expire,有做安全扫描的时候,就有可能报出这个问题。修复这个问题,就需要设置相应的expire信息。php中需要修改配置文件php.ini,找到“session.cookie_lifetime”这一行,设置值为需要保存的时长,单位为秒。(默认值为0,表示浏览器关闭后销毁)完成配置修改后,需要重启web server服务使其生
cookie跨站脚本漏洞解决方案
a7412605567的博客
10-17 297
近日项目碰到一个跨脚本注入的问题: 这安全测评工具也是厉害了,直接将脚本注入到cookie里头,以前没有碰到这样的情况。 之前写过一篇文章过滤跨脚本注入的问题。《浅谈XSS攻击原理与解决方法》关于跨脚本注入的问题,不晓得原理的同学可以看下。但是里头没有处理cookie注入的问题。接下来介绍下如何处理。 关键代码在这里:首先获取到cookie,检查下是否有敏感字符,如果有的话,就...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 3026
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookie中的Secure指的是安全性。在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
Cookiesecure 属性
追随大师的脚步,,,
11-19 617
但凡做web项目的,或多或少的会接触cookie。做j2ee也不例外。本人也一直使用,不能说不熟,但今天有人问.setSecure();方法的作用时,还真不敢说出一二来。因为我没使用过。只是看书时,有这样的一句话:      Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 H...
会话cookie中缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
Cookie HTTPOnly 缺失漏洞(低危)
06-13
Cookie HTTPOnly 缺失漏洞是一种常见的Web安全漏洞,攻击者可以通过该漏洞窃取用户的 Cookie,从而实现身份验证绕过、会话劫持等攻击。具体来说,如果应用程序在设置 Cookie 时没有将 HTTPOnly 标志设置为 true,那么攻击者就可以通过 JavaScript 等手段来获取到 Cookie,从而实现攻击。 为了修复漏洞,应用程序应该在设置 Cookie 时将 HTTPOnly 标志设置为 true。这样可以防止攻击者通过 JavaScript 等手段来获取到 Cookie,从而增强应用程序的安全性。另外,建议应用程序在设置 Cookie 时同时将 Secure 标志设置为 true,以防止 Cookie 被窃取或篡改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值