加密会话(ssl)cookie 中缺少 secure 属性_HTTP、会话管理、同源策略

最新推荐文章于 2024-08-10 14:04:12 发布
最新推荐文章于 2024-08-10 14:04:12 发布
阅读量966 收藏
点赞数
文章标签: 加密会话(ssl)cookie 中缺少 secure 属性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32263265/article/details/113364518
版权
本文介绍了《Web应用安全权威指南》中关于加密会话(SSL)Cookie的安全属性,强调了secure属性的重要性。讨论了基本认证、Cookie与会话管理的概念,特别是Cookie的Domain、Secure和HttpOnly属性对于安全的影响。同时,阐述了同源策略的原理,它是防止JavaScript跨站访问的安全措施,尽管不能完全阻止XSS和CSRF攻击,但仍然是提升Web应用安全的重要手段。
摘要由CSDN通过智能技术生成

最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版

e5ebbc8f3ea2e9f2aead610b6636a7f9.png

Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码

e5eb5ba0d070c764995b835f5003e5e9.png

Cookie与会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记住“名称=变量”这种格式的值。

浏览器记住了Cookie值,再发送请求到该网站时,就会同时发送Cookie值(PHPSESSID),也就是会话ID。目前使用广泛的是Cookie中保存类似银行受理编号的会话ID,对应的值保存在服务器端,这种方法称为使用Cookie的会话管理。

Cookie的属性,涉及安全性的三个属性为:Domain、Secure、HttpOnly

Doamin   Cookie发送对象服务器的域名,不设置最安全
Path     Cookie发送对象URL的路径
Expires  Cookie的有效期限。未指定则表示至浏览器关闭为止
Secure   仅在SSL加密的情况下发送Cookie
HttpOnly 指定了此属性的Cookie不能被JavaScript访问,无法彻底抵御XSS攻击,可增答攻击难度

设置HttpOnly属性方法,在php.ini文件中加入

session.cookie_httponly=on

同源策略

同源策略是禁止JavaScript进行跨站访问的安全策略,提高了安全性,但因为web程序本身可能存在漏洞,所以无法完全防止XSS、CSRF攻击。

当我们访问百度和谷歌网站时,需要禁止谷歌网站的脚本来获取百度网站的信息,只让百度网站的脚本在百度网站运行。

同源条件:需要满足URL的主机或全称域名一致、协议一致、端口号一致三个条件

白豆蔻
关注
加密会话SSLCookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话SSLCookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5203
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
会话Cookie未设置Secure属性漏洞
my的博客
01-15 3539
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
前端安全问题汇总
最新发布
ParanoidT的博客
08-10 674
即使携带恶意脚本的响应没有实际在页面被解析执行,但是如果接口响应Content-type此刻为html,这就满足了脚本可执行的基本条件,对于扫描软件来说,这就是有问题的case。上述代码被攻击者加了恶意代码,当用户请求上述代码,服务器没有对用户输入进行充分的验证或转义,服务器可能会直接将这些代码插入到返回的HTML。注入的脚本永久存储在Web服务器上,如数据库、内存或文件系统。所谓反射,是指此种类型的注入脚本必须被包含在发往Web服务器的请求,然后Web服务器以某种方式反射到用户浏览器执行。
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
weixin_42249908的博客
05-31 2375
AppScan扫描漏洞(等):加密会话SSLCookie 缺少Secure属性
加密会话SSLCookie 缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
【安全问题】加密会话SSLCookie 缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
Appscan漏洞 之 加密会话SSLCookie 缺少 Secure 属性
arkqyo2595的博客
07-26 907
  近期Appscan扫描出漏洞加密会话SSLCookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理   任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议   给coo...
浅谈cookie安全
课嗨教育的专栏
04-03 2483
0x01 简介 1. cookie简述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。服务端可以通过http的响应对cookie进行增加、修改和删除。而在客户端也可以通过脚本语言如:JavaScript对其进行同样的操作。 2. cookie的组成结构 Cookie的字段一般分为: [name]
常见web漏洞(awvs、nessus)验证方法小记-低危漏洞
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】未加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL加密(主机漏洞)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie缺少HttpOnly标志(Cookie(s) without HttpOnly flag set)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie缺少secure属性Cookie(s) wi...
PHP下的会话管理与安全防护
会话管理是Web开发至关重要的一环,它负责追踪用户在站点上的活动状态,以确保用户的个性化体验,同时也为用户提供了登录状态的维护、数据持久化等功能。在一个典型的Web应用会话管理通常涉及识别、验证和跟踪...
Cookie、Session、JWT的详解
miaozy
04-10 1484
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
WAMP环境下的网页会话管理与安全机制
# 1. WAMP环境概述 ## 1.1 什么是WAMP环境 ...在WAMP环境,Windows为操作系统,Apache为...WAMP环境对网页会话管理的影响主要体现在其对会话数据的存储、管理和安全性方面。由于WAMP环境的PHP/Perl/Python等脚本语
Appscan漏洞之加密会话SSLCookie缺少Secure属性
学者-微风
05-14 6134
近期 Appscan扫描出漏洞 加密会话SSLCookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
加密会话(SSL) Cookie 缺少Secure属性
weixin_33774308的博客
05-18 883
在项目使用appscan扫描的时候出现:处理方法:打开项目的web.config文件,在<system.web>下面增加<httpCookies httpOnlyCookies="true"requireSSL="true"/>注意,加入参数之后,如果继续使用http来访问的时候,如登录需要使用cookie,则这个时候是不能正常读到cookie的...
IBM AppScan 安全扫描:加密会话SSLCookie 缺少 Secure 属性 处理办法
weixin_30500473的博客
03-03 413
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加: <system.web><httpCookies...
IBM AppScan 安全扫描:加密会话SSLCookie 缺少 Secure 属性 处理办法 ...
weixin_30344795的博客
06-28 814
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:...
加密会话(ssl)cookie 缺少 secure 属性_如何在Spring Boot使用Cookie?
weixin_34413579的博客
01-22 2276
HTTP Cookie(也称为 Web cookie或 浏览器cookie)是服务器在用户浏览器存储的一小段信息。服务器在返回浏览器发出的请求的响应时设置cookie。浏览器存储cookie并将其与下一个请求一起发送回同一服务器。Cookie通常用于会话管理,用户跟踪和存储用户首选项。Cookie可帮助服务器在多个请求记住客户端。如果没有cookie,服务器会将每个请求视为新客户端。在本文,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值