【漏洞二】Apache HTTP Server "httpOnly" Cookie信息泄露漏洞

最新推荐文章于 2024-07-08 09:24:04 发布
最新推荐文章于 2024-07-08 09:24:04 发布
阅读量1.8k 收藏
点赞数
文章标签: 运维 java
原文链接:http://www.cnblogs.com/651434092qq/p/11506929.html
版权

【漏洞】

Apache HTTP Server "httpOnly" Cookie信息泄露漏洞

 

【原因】

服务器问题

Apache HTTP Server在对状态代码400的默认错误响应的实现上存在Cookie信息泄露漏洞,成功利用后可允许攻击者获取敏感信息。

 

【解决】

升级到 Apache Httpd 2.2.22 或更高版本。
update the apache server,it has been fixed

 

 

=======================================================================================================================

将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。

如何在Java中设置cookie是HttpOnly呢看
1、Servlet 2.5 API 不支持 cookie设置HttpOnly。建议升级Tomcat7.0,它已经实现了Servlet3.0。但是苦逼的是现实是,老板是不会让你升级的。
2、那就介绍另外一种办法:

利用HttpResponse的addHeader方法,设置Set-Cookie的值
cookie字符串的格式:key=value; Expires=date; Path=path; Domain=domain; Secure; HttpOnly

//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

在实际使用中,我们可以使FireCookie查看我们设置的Cookie 是否是HttpOnly

=======================================================================================================================

 

转载于:https://www.cnblogs.com/651434092qq/p/11506929.html

weixin_30955341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
httpwebreqeust读取httponlycookie方法
08-31
下面小编就为大家带来一篇httpwebreqeust读取httponlycookie方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Apache httpOnly Cookie泄露分析与测试
收集盒 Book box
05-08 7220
Apache HTTP Server 2.2.x多个版本没有正确严格限制HTTP请求头信息HTTP请求头信息超过LimitRequestFieldSize长度时服务器返回400(Bad Request)错误,并在返回信息中将出错请求头内容爆出,攻击者可以利用该漏洞获取httponly cookies。 受影响版本: 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17
中间件安全—Apache常见漏洞
最新发布
Innocence_0的博客
07-08 758
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache
Apache httpOnly Cookie泄露( CVE-2012-0053)——漏洞复现
W小哥
06-16 2952
一、漏洞描述 漏洞原理 在1.4.7之前的nginx 1.3.15和1.5.12之前的1.5.x中的SPDY实现中,基于堆的缓冲区溢出允许远程攻击者通过精心设计的请求执行任意代码。 三、环境搭建 四、漏洞复现 五、漏洞修复 ...
会话cookie中缺少HttpOnly属性漏洞--分析解决
热门推荐
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
Apache httponly Cookie泄露
weixin_30518397的博客
08-03 447
对于xss攻击(窃取cookie),一个有效的方式是设置httponly属性,在apache2.2.X 很多版本,当cookie过长时,将返回cookie导致cookie泄露 这个POC试验失败-_-不知道为啥 开始时不知道ajax请求如何携带cookie发送,以为还是setRequestHeader。。,后来知道为了安全取消了这样的发送行为,可以通过设置document.cookie,这样发...
Apache httpOnly Cookie 泄露漏洞修复方法
收集盒 Book box
08-10 8399
by thanks  insightlabs里看到 http://insight-labs.org/?p=267 漏洞原理分析就不多说了,文章里都有 但并未提到漏洞修补方法,正好在这做个补充。 漏洞原理和过程: 1.       受害者中了跨站,浏览器发出携带超大cookies的包 2.       服务器返回400错误,并会在respon
apache httponly cookie disclosure
cnbird's blog
02-01 2815
// Source: https://gist.github.com/1955a1c28324d4724b7b/7fe51f2a66c1d4a40a736540b3ad3fde02b7fb08 // Most browsers limit cookies to 4k characters, so we need multiple
第三方库 Guzzle 修复高危的跨域 cookie 泄露漏洞,影响 Drupal等
smellycat000的专栏
05-30 772
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士PHP 应用程序的热门HTTP客户端 Guzzle 的维护人员,修复了一个可导致跨域cookie 泄露的高危漏洞 (CVE-2022-29248)。开源的内容管理系统 Drupal 是使用该第三方库的应用程序之一,目前已发布软件更新解决了这个问题。该漏洞位于Guzzle 的 cookie 中间件中,默认禁用。Guzzle...
cookie设置httpOnly和secure属性实现及问题
01-03
- **定义**: 如果Cookie设置了`httpOnly`属性,那么该Cookie只能通过HTTP协议进行访问,即JavaScript等客户端脚本无法读取到Cookie信息。 - **作用**: 防止通过客户端脚本(如JavaScript)进行的跨站脚本攻击(XSS)。...
.net 获取浏览器Cookie(包括HttpOnly)实例分享
10-26
标题中提到的关键知识点是“.NET 获取浏览器Cookie(包括HttpOnly)实例分享”。描述部分强调这是一个实例分享,说明了文章将提供一个具体的.NET环境下获取浏览器中Cookie的方法,包括那些标记为HttpOnlyCookie。...
PHP设置CookieHTTPONLY属性方法
10-20
在Web开发中,Cookie是一种重要的技术,用于存储用户状态和信息。然而,随着网络安全问题的日益突出,Cookie的安全性成为了关注焦点。HTTPOnly属性的引入就是为了增强Cookie的安全性,防止恶意JavaScript代码通过...
Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法
it知识分享 free for nothing..
03-18 838
Cookie 信息泄露 Cookie未设置http only属性 原理以及修复方法
WEB漏洞-XSS跨站之代码绕过与httpOnly绕过
硫酸超的博客
08-16 4615
什么是HttpOnly? 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索。 介绍 PHP设置COOKIEHttpOnly属性 作用:仅仅是防止通过js脚本读取到cookie信息 虽然设置了httponly之后拿不到cookie,但是还是存在xss跨站语句,阻止的仅仅是获取cookie 对方开启HttpOnly你在盗取cookie失败的情况下可以采用其他方案 登陆后台权限方式 1.以cooki
第27天-WEB 漏洞-XSS 跨站之代码及 httponly 绕过
MCTSOG的博客
03-12 1110
代码类过滤:Xsslabs HttpOnly 属性过滤防读取 绕过 httponly: 浏览器未保存帐号密码:需要 xss 产生登录地址(漏洞产生在登录界面),利用表单劫持 浏览器保存帐号密码:浏览器读取帐号密码 知识补充 参考文章: 利用HTTP-only Cookie缓解XSS之痛 什么是HttpOnly - OSCHINA - 中文开源技术交流社区 XSS与HTTP-only Cookie简介 为了缓解跨站点脚本攻击带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引.
Cookie属性HttpOnly引起的漏洞解决方案
Sveinn的博客
03-06 398
项目扫描的时候出一个漏洞Cookie未配置HttpOnly标志。那HttpOnly是什么呢?Httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。在web应用中、JSESSIONID (Cookie)没有设置Httponly属性可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。这里我是写一个拦截器,实现GlobalFilter,我们可以在拦截器中向Cookie中添加HttpOnly属性。
WEB安全:什么是CookieCookie数据泄漏的危害
weixin_33816946的博客
04-06 2791
一、什么是Cookie 简单来说,Cookie是网站在用户浏览器中保存下来的一份个人信息,有了Cookie,用户下次访问该网站时就可以免输入用户名甚至密码了(比如登陆淘宝网,用户名一栏就自动填充了,而为了安全,密码是必须的),因网站而异。另外,用户使用账号登陆网站后,要靠Cookie来维持会话Session,以保持在线状态,一旦清空当前网站对应的所有Cookie数据,用...
网安系列:第27天:WEB漏洞XSS跨站代码及httponly绕过
weixin_54626591的博客
05-16 44
第27天:WEB漏洞XSS跨站代码及httponly绕过
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2078
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
java Cookie HTTPOnly 缺失漏洞(低危)
05-31
Java Cookie HTTPOnly 缺失漏洞是指在使用 Java Web 应用开发时,如果程序员在设置 Cookie 时没有使用 HTTPOnly 属性,那么攻击者可以通过 JavaScript 脚本获取到该 Cookie 的值,从而实施攻击。 该漏洞的危害较低...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值