Django检测到会话cookie中缺少HttpOnly属性手工复现

已于 2024-04-08 13:32:09 修改
阅读量1k 收藏 1
点赞数 32
文章标签: 安全 服务器 linux
于 2024-04-03 14:39:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46366184/article/details/137344377
版权

一、漏洞复现

        会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

55faf34d4ca742d180bf4d37e88bd25f.png

        第一步:复制URL:http://192.168.43.219在浏览器打开,使用F12调试工具;

        第二步:选择Application,点击Cookies查看csrftoken的Value信息;

ddf1eb025f7f4c709935204d0450ae8f.png

        第三步:选择Console,输入命令alert(document.cookie);

5dd8d9a81c84414b92281ca1c22ac98f.png

        第四步:对比csrftoken的Value信息,如果可以获取值相同,说明存在BUG。

二、漏洞修复

在settings.py中添加以下代码:

CORS_ALLOW_ALL_ORIGINS = True
CSRF_COOKIE_HTTPONLY = True  # 防止XSS攻击
CSRF_COOKIE_SECURE = True  # 防止CSRF攻击
CSRF_COOKIE_SAMESITE = 'Strict'  # 防止CSRF攻击
SESSION_COOKIE_SECURE = True  # 防止session劫持
SESSION_COOKIE_SAMESITE = 'Strict'  # 防止session劫持
CSRF_TRUSTED_ORIGINS = ['你的域名']  # csrf跨域

aca3dfaa344644ce9eacba2b15a6778b.png

        此时HttpOnly已经修复,再次选择Console,输入命令alert(document.cookie);

0b325282c2bf44d68f63549b2ef1ce8d.png

        弹出框已经不存在csrftoken的Value信息。

三、HttpOnly 属性的作用 

        1. 防止跨站脚本攻击(XSS)

        XSS 攻击是一种常见的网络攻击,黑客通过注入恶意脚本来窃取用户 cookie,获取用户敏感信息。将 cookie 设置为 HttpOnly 可以阻止这种攻击,因为恶意脚本无法访问或修改包含敏感信息的 cookie。

        2. 增加会话安全性

        由于会话 cookie 经常用于管理用户的登录状态和身份验证,将其设置为 HttpOnly 可以增加会话的安全性。黑客无法在用户的浏览器中获取会话 cookie 的值,进而无法伪造用户身份。

        3. 减少信息泄露风险

        将 cookie 设置为 HttpOnly 可以减少敏感信息泄露的风险。即使恶意脚本成功注入网页,它也无法获取存储在 cookie 中的敏感数据。

 

骑上单车去旅行
关注
  • 32
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Django框架会话技术实例分析【Cookie与Session】
09-19
主要介绍了Django框架会话技术,结合实例形式分析了Django框架Cookie与Session相关使用技巧与注意事项,需要的朋友可以参考下
会话cookie缺少HttpOnly属性漏洞--分析解决
小元子子的博客
06-28 1万+
详细描述会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
检测会话cookie缺少HttpOnly属性
最新发布
lxyoucan的博客
07-15 1407
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
安全检测会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 6018
安全测试时,有时会检查出检测会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
会话cookie 缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookieHttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie
会话 cookie 缺少HttpOnly 属性 的问题
热门推荐
gtlishujie的博客
07-25 2万+
最近公司网站遭受攻击,请了专业的公司给做漏洞扫描,其有一个漏洞问为“会话 cookie 缺少HttpOnly 属性”,针对这个问题扫描公司给了相应的处理方法。方法如下: 在应用程序测试过程检测到所测试的 Web 应用程序设置了不含 “HttpOnly属性会话 cookie。由于此会话 cookie 不包含“HttpOnly属性,因此 注入站点的恶意脚本可能访问此 cookie
详解Python的Django框架Cookie相关处理
09-21
主要介绍了详解Python的Django框架Cookie相关处理,Cookie存储是每个开发框架都会着重注意的重要功能,需要的朋友可以参考下
Djangocookie与session操作实例代码
10-19
在Web开发Cookie和Session是两种常见的用户状态管理机制,它们用于跟踪用户的会话信息。在Django框架Django提供了方便的API来处理Cookie和Session。下面我们将详细讨论这两个概念以及如何在Django进行操作...
PHP Apache 检测会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 1949
PHP Apache 检测会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
检验-会话cookie缺少HttpOnly属性
RayChiu757374816的博客
12-11 3229
第一次遇到这样的问题,就想来记录下这个。 详细问题描述: 1.会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。    2.HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 9596
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookiehttponly和samesite属性
django-会话 cookie 缺少HttpOnly 属性-安全加强
weixin_30457065的博客
04-02 822
如果django程序扫描到会话 cookie 缺少 HttpOnly 属性问题,需要如何进行安全加强? https://docs.djangoproject.com/en/2.2/ref/settings/#std:setting-CSRF_COOKIE_HTTPONLY 参考官方文档. CSRF_COOKIE_HTTPONLY¶ Default:False Whether to u...
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
enjoy.day
02-09 3063
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
web漏洞修复
q764535104的博客
05-31 3005
开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。注:配置后,统一网站浏览器只要使用过https,下次http的请求就会强转成https,max-age为生效时长,且每次访问都会重新刷新。可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 2860
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookie的Secure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
漏洞修复:Cookie Security: HTTPOnly not Set on Application Cookie
CutelittleBo的博客
01-28 3867
描述 The web application does not utilize HTTP only cookies. This is a new security feature introduced by Microsoft in IE 6 SP1 to mitigate the possibility of a successful Cross-Site scripting attack by not allowing cookies with the HTTP only attribute to be
djangosession和cookie那个更安全
03-22
安全性角度来看,session比cookie安全。因为session是存储在服务器端的,而cookie是存储在客户端的。因此,session可以避免一些安全问题,比如cookie被窃取、cookie被篡改等。另外,session可以设置过期时间,可以有效地控制用户的访问时间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骑上单车去旅行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值