PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理

最新推荐文章于 2024-04-28 11:25:26 发布
最新推荐文章于 2024-04-28 11:25:26 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 漏洞处理 文章标签: php apache https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010457180/article/details/130285508
版权

最近准备上线一个网站,按照要求进行了绿盟的漏洞扫描,其中“WEB应用扫描”发现了两个问题,可以算作一个类型,一起解决。

环境:龙蜥8Linux,宝塔集成环境(Apache+PHP)

解决方法:

  1. PHP配置文件php.ini
    查找 session.cookie_httponly = 后边写1或者true
    查找 session.cookie_secure = 后边写1或者true
    根据其他配置,建议写1,如果有备注符号,记得删除。
    但是修改了以上的配置,WEB应用扫描还是有这两个漏洞,感觉是因为它是直接对文件内容进行的扫描,是不是直接获取了语句,所以接下来去程序里修改 。
  2. PHP文件
    根据漏洞风险信息提示找到对应的PHP文件(不知道为什么最后生成的报表里没有详细的信息,所以在扫描的时候拍了照片)。漏洞风险信息
    在文件内搜索setcookie,查看函数参数。
    setcookie(cookie名称, cookie值, 过期时间, 有效路径, 有效域名, secure, httponly)
    php5.2以上版本支持HttpOnly参数的设置。
    除了第一个参数必填,其他都选填,不需要的填 null 就行。
    有效路径:当设置 ‘/’ 时有效路径为根目录,所有根目录和子目录都可以访问;不设置时仅在本目录及子目录生效,上级目录的文件获取不到。
    secure:只有通过https访问时,这条语句才有用。
    httponly:只能通过http协议访问,通过JS等无法读取到cookie,防止XSS攻击。
setcookie("name", "value", null,null,null,1,1);//设置secure和httponly
setcookie("name", "value", time()+3600,null,null,1,1);//保存一小时
setcookie("name", "value", time()+3600,'/',null,1,1);//路径根目录
setcookie("name", "value", ['httponly' => true]);//设置httponly
setcookie("name", "value", ['httponly' => true, 'secure' => true]);//设置secure和httponly

添加了setcookie的第6/7个参数后,这两个漏洞不见了。
建议所有的setcookie语句都加上。

superstarxue630
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP设置CookieHTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置CookieHTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 2855
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
WEB安全漏洞Cookie缺少相关安全属性HttpOnlySecure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
backerli的博客
09-25 4005
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
AppScan扫描漏洞等):加密会话(SSL)Cookie 缺少Secure属性
weixin_42249908的博客
05-31 2186
AppScan扫描漏洞等):加密会话(SSL)Cookie 缺少Secure属性
Cookie 缺失secure漏洞修复
煜铭2011
06-27 8726
0x00 漏洞背景 Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。 浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络有监控,可能被截获。 如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。 攻击者即使窃听网络,也无法获取用户明文cookie。 0x01 修复思路 设置cookie时,加入属性
会话Cookie未设置Secure属性漏洞
my的博客
01-15 1592
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
安全检测会话cookie缺少HttpOnly属性
qq_37432174的博客
01-02 5836
安全测试时,有时会检查出检测会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
Session CookieHttpOnlysecure属性
10-29
如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,...
session配置secure和httpOnly
03-16
本文档描述了关于cookie的http-only和secure的简介,和如何设置该属性,以及设置该属性会遇到的问题解决方法
加密会话(SSL)Cookie缺少Secure属性解决方案
热门推荐
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话(SSL)Cookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
Web低危漏洞之加密会话(ssl)Cookie缺少Secure属性处理方法
weixin_42715225的博客
09-12 1911
前言 网址使用ssl后,如未对Cookie进行处理,会有低危漏洞的产生 漏洞呈现 解决 在html静态页面的head部添加如下内容: <meta http-equiv="Expires" content="0"> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Cache-control" content="no-cache,must-revalidate"> <meta http-
Appscan漏洞 之 加密会话(SSL)Cookie 缺少 Secure 属性
arkqyo2595的博客
07-26 877
  近期Appscan扫描出漏洞加密会话(SSL)Cookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理   任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议   给coo...
Appscan漏洞之加密会话(SSL)Cookie缺少Secure属性
学者-微风
05-14 5855
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
安全漏洞修复帖
weixin_45067120的博客
03-09 1603
整理系统遇到的安全漏洞
检测会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1311
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
supervisor 简单理解
最新发布
qq_42857358的博客
04-28 196
test.ini文件内容。
vue 设置会话cookie属性httponly
06-07
可以通过设置 `Vue-cookies` 插件的 `httponly` 参数来设置会话 Cookie属性HttpOnly。具体的代码如下: ```javascript import Vue from 'vue' import VueCookies from 'vue-cookies' Vue.use(VueCookies) Vue.$cookies.config('0', '', '', true, 'None', true, 'Strict') ``` 在上述代码,`Vue.$cookies.config()` 方法的第 7 个参数为 `true`,表示设置会话 Cookie属性HttpOnly。同时,也可以通过设置第 4 个参数为 `true` 来设置会话 Cookie 的过期时间为会话结束时。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值