php 加密没有符号_php-SSL Cookie中缺少安全标志(http-cookie-secure-flag)

最新推荐文章于 2022-09-16 16:13:34 发布
最新推荐文章于 2022-09-16 16:13:34 发布
阅读量607 收藏
点赞数
文章标签: php 加密没有符号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32204241/article/details/115105273
版权

我需要面对我所遇到的问题的专家意见/反馈.我有我正在研究的Magento站点之一的PCI合规报告. (Magento 1.4.1.1).该报告是使用nexpose生成的

PCI报告指出以下内容.

Missing Secure Flag From SSL Cookie (http-cookie-secure-flag)

描述:

Secure属性告诉浏览器仅在通过安全通道(例如HTTPS)发送请求时才发送cookie.这将有助于防止Cookie传递到未加密的请求中.如果可以同时通过HTTP和HTTPS访问该应用程序,则可能以明文形式发送cookie.

报告提到了以下参考文献OWASP-2010:A3和OWASP-2013:A2

PCI合规性证据失败:

Cookie未标记为安全:

'frontend=2tsnh10jssv89cg0a7n93bf4ji1

cmkn0; path=/; httponly;

domain=www.example.com'

URL: https://www.example.com/

解决方案建议:

对于您网站中通过SSL发送的每个Cookie,请在Cookie中添加“安全”标志.

所以我的问题是,要完全符合PCI标准,是否必须应对这一高风险?

我在SO上搜索后发现,在SSL安全站点的Magento cookie中,“安全”标记在哪里? .

1)您认为提供的解决方案足以克服该问题吗?

如发行说明中所述,我们有以下声明:

为店面添加了安全的cookie标志,以防止中间人攻击. “安全”和“不安全” Web配置选项没有任何变化.

如果我们从http切换到https连接,那时候没有安全标记.

生活还是要继续
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
securing-cookies-httponly-secure-flags
crystalNB的专栏
01-20 1199
原文:securing-cookies-httponly-secure-flags
Http Cookie里面HttpOnly和Secure标记
daruanhu7748的博客
11-02 574
Secure The secure option is a flag that can be set by the application server when sending a new cookie to the user within a HTTP Response. The purpose of the secure flag is to prevent cookie fro...
01.安全扫描之解决Cookie未设置Secure标识问题
bigdata_li的博客
01-10 1万+
1.问题描述 cookie未设置Secure标识:Cookie有一个Sevure标识,如果设置了,那么这个cookie只会再https下被发送出去,https的传输时加密的,减少敏感cookiehttp明文传输时泄露的可能性 2.解决方案 在web.xml添加一个对controller的过滤器 <filter> <filter-n...
cookie标识: name-domain-path-secureFlag
tuhuolong的专栏
01-28 734
Cookie
YuLi_Zoe的专栏
09-22 560
Cookie的构成1、名称: 一个唯一确定cookie的名称。 2、值: 储存在cookie的字符串值。值必须被URL编码。 3、域: cookie对于哪个域是有效的。所有向该域发送的请求都会包含这个cookie信息。这个值可以包含子域(sudomain,如www.wrox.com),也可以不包含它(如.wrox.com,则对于wrox.com的所有子域都有效)。如果没有明确设定,那么
通信与网络的移动终端的安全解决方案d-SSL
12-09
综上所述,d-SSL作为移动终端的安全解决方案,通过结合SSL协议的优势,提供了可靠的数据加密和身份验证机制,旨在解决移动商务安全性的问题,促进移动支付和电子商务的健康发展。这一方案的实施和优化,对于提升...
ssl_test.zip_openssl test_openssl tcp_ssl-tcp_sslservertest_基于o
最新发布
09-24
SSLSecure Sockets Layer)是互联网上广泛使用的安全通信协议,用于在客户端和服务器之间建立加密连接,确保数据传输的隐私性和完整性。本压缩包文件"ssl_test.zip"包含了一个基于OpenSSL库实现的SSL测试程序,...
ssl-tls-beginners-guide_1029.rar_加密解密_PHP_
08-11
SSL/TLS(Secure Sockets Layer/Transport Layer Security)是网络安全领域的重要协议,主要用于保障互联网通信的安全性。本文将深入浅出地介绍SSL/TLS的基础知识,并结合PHP环境下的应用进行探讨。 一、SSL/TLS...
在Serv-U使用SSL证书增强FTP服务器安全性图文设置方法
01-10
为了保证特殊环境下的数据安全,有时是有必要启用SSL功能的。下面笔者以Serv-U服务器为例,介绍如何启用SSL加密功能。 创建SSL证书 要想使用Serv-U的SSL功能,当然需要SSL证书的支持才行。虽然Serv-U 在安装之时就...
【安全问题】加密会话(SSLCookie 缺少 Secure 属性
热门推荐
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
cookie setSecure详解
zzhongcy的专栏
03-31 7858
最近项目用检测漏洞 在cas或其他web开发,会碰到安全cookie的概念,因为CASTGT是存放在安全cookie的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSecure(true); 的情况下,只有https才传递到服务器端。http是不会传...
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2470
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.
浅谈cookie安全
xxx9686的博客
09-16 1542
对于cookie的实现,标准化是有一定安全问题的,所以在web应用实现cookie的同时,要注意各个方面的问题,不仅仅是对身份认证的盗取,可能还会有一些特殊场景下的cookie覆盖的危害。曾经有人就利用这种覆盖cookie的方法,对google进行了攻击,当登录了google的账号之后,使用者的搜索历史记录就会被记录在账号,攻击者利用xss对cookie进行覆盖,受害者不知情的情况下,所有的操作都被记录到攻击者的账号。由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。
session-cookie without secure flag set解决方案
weixin_34034261的博客
11-10 6531
扫出一个session-cookie without secure flag set这个漏洞,在web.xml里加<cookie-config><http-only>true</http-only> <secure>true</secure> </cookie-config>...
会话劫持后可以做什么操作_什么是会话劫持以及如何阻止它
07-25 417
会话劫持后可以做什么操作by Ramesh Lingappa 通过拉梅什·林加帕(Ramesh Lingappa) 什么是会话劫持以及如何阻止它 (What is session hijacking and how you can stop it) This story is for beginners and anyone who has a basic understanding abou...
CookieSecure属性
weixin_30549175的博客
12-15 1927
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值