IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法

最新推荐文章于 2024-01-15 09:56:37 发布
最新推荐文章于 2024-01-15 09:56:37 发布
阅读量2.4k 收藏 1
点赞数
文章标签: appscan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunny_happy08/article/details/83026259
版权

原因分析:

服务器开启了Https时,cookie的Secure属性应设为true;

解决办法:

1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn

2.修改web.config,添加:

<system.web>
<httpCookieshttpOnlyCookies="true" requireSSL="true" />
<system.web>

See: http://msdn.microsoft.com/en-us/library/ms228262(v=vs.100).aspx

3.修改后台写Cookies时的设置 cookie.Secure = true:

HttpResponse response= HttpContext.Current.Response;

var cookie = new HttpCookie(key, value);

cookie.HttpOnly = true;

cookie.Path = "/";

cookie.Expires = DateTime.Now.AddHours(1);

cookie.Secure = true;

response.AppendCookie(cookie);

 

参考网站:http://stackoverflow.com/questions/5978667/how-to-secure-the-asp-net-sessionid-cookie

sunny_happy08
关注
加密会话SSLCookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话SSLCookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
IBM AppScan 安全扫描加密会话SSLCookie 缺少 Secure 属性 处理办法
weixin_30500473的博客
03-03 442
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加: <system.web><httpCookies...
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
weixin_42249908的博客
05-31 2459
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
会话Cookie未设置Secure属性漏洞
my的博客
01-15 4234
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
IBM AppScan安全扫描:探索与测试阶段解析
AppScan是一款领先的Web应用安全测试工具,提供全面的安全漏洞检测和修复建议,且是商业安全扫描工具唯一支持简体文的。扫描分为探索和测试两个阶段,探索阶段通过模拟用户行为遍历URL路径,创建测试点;测试...
IBM Security AppScan安装包
06-26
总之,IBM Security AppScan是一款功能强大的应用安全测试工具,可以通过自动化测试和高级漏洞扫描技术,帮助开发人员和测试人员识别和修复Web应用程序安全漏洞,提高Web应用程序的安全性。
IBM Rational AppScan试用版:网页安全扫描指南
appscan网页BUG测试使用手册.pdf”主要介绍了如何使用IBM Rational AppScan这一工具进行网页安全漏洞的检测。该工具提供了一个30天的试用版,具备完整功能,用户可以扫描特定的测试Web站点,如AltoroMutual和demo....
APPScan安全扫描使用手册
最新发布
11-05
APPScan安全扫描使用手册
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
03-05
IBM Appscan9.0.3安全扫描简单安装、使用以及高危漏洞修复-附件资源
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
检测到会话cookie缺少Secure属性
weixin_34262482的博客
06-04 4293
检测到会话cookie缺少Secure属性1详细描述会话cookie缺少Secure属性会导致***者可以通过非HTTPS页面窃取到用户的cookie信息,造成用户cookie信息的泄露。cookieSecure指的是安全性。通过设定cookieSecure,可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问,如果启...
安全问题】加密会话SSLCookie 缺少 Secure 属性
热门推荐
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
Appscan漏洞之加密会话SSLCookie缺少Secure属性
学者-微风
05-14 6196
近期 Appscan扫描出漏洞 加密会话SSLCookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
AppScan安全扫描加密会话SSLCookie缺少Secure、会话 cookie 缺少 HttpOnly 属性
爱兰河少
01-30 4325
1、创建拦截器,对请求进行拦截处理Cookie问题 因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值 因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值 package cn.com.zwjp.framework.filte...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 3325
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2169
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值