Web中低危漏洞之加密会话(ssl)Cookie中缺少Secure属性的处理方法

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量2k 收藏 1
点赞数
分类专栏: security 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42715225/article/details/108554623
版权
前言

网址使用ssl后,如未对Cookie进行处理,会有中低危漏洞的产生

漏洞呈现

在这里插入图片描述

解决

在html静态页面的head部添加如下内容:

<meta http-equiv="Expires" content="0">
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Cache-control" content="no-cache,must-revalidate">
<meta http-equiv="Cache" content="no-cache">
示例
... ...
<head>
... ...
<meta http-equiv="Expires" content="0">
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Cache-control" content="no-cache,must-revalidate">
<meta http-equiv="Cache" content="no-cache"> 
... ...
<title>my site</title>
... ...
结语

… …

devops_sre
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密会话SSLCookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话SSLCookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
加密会话(ssl)cookie 缺少 secure 属性_HTTP、会话管理、同源策略
weixin_32263265的博客
01-28 942
最近在看《web应用安全权威指南》,将重点整理记录下备忘。强烈推荐~网上有pdf版Basic认证,该认证是无状态的,每次请求进行操作都会提供用户名和密码Cookie会话管理,常见需求,比如用户登录后、购物网站购物车都是需要保持客户端的状态的。记忆认证状态的功能叫做会话管理,为了实现会话管理,Cookie出现了,Cookie相当服务器下达命令给浏览器,通过Set-Cookie响应头信息,让浏览器记...
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2064
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
记录一个等保二的项目的漏洞处理
Admans的专栏
07-07 1992
Clickjacking是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时 点击看似无害的网页。此外,当用于保护传入或传出网站的敏感信息时,TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件,用记事本打开,将 debug 属性更改为 false 以禁用该应用程序的调试。
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造
最新发布
qq_43613949的博客
06-19 855
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造@
会话Cookie未设置Secure属性漏洞
my的博客
01-15 2834
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
Cookie 缺失secure漏洞修复
煜铭2011
06-27 9302
0x00 漏洞背景 Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。 浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络有监控,可能被截获。 如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。 攻击者即使窃听网络,也无法获取用户明文cookie。 0x01 修复思路 设置cookie时,加入属性
web漏洞修复
q764535104的博客
05-31 3402
开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。注:配置后,统一网站浏览器只要使用过https,下次http的请求就会强转成https,max-age为生效时长,且每次访问都会重新刷新。可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。
常见web漏洞(awvs、nessus)验证方法小记-低危漏洞
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】未加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危SSL加密(主机漏洞漏洞描述漏洞危害漏洞证明修复建议【低危Cookie缺少HttpOnly标志(Cookie(s) without HttpOnly flag set)漏洞描述漏洞危害漏洞证明修复建议【低危Cookie缺少secure属性Cookie(s) wi...
元器件应用的基于传感低Q电感的测量
12-06
 对实际传感低Q电感测量,经常碰到一些电感,虽然直流电阻不大,但由于交流损耗电阻极大,而Q值极低,有的Q值在O.5以下。在测量时,由于电感线圈Q值很低,不易使电桥达到平衡的情况下,所测得的电感数值将发生较...
电源技术的电源模块低电磁干扰的设计方案
10-20
电源模块在设计面临众多挑战,尤其是在高功率应用,除了功能性和耐用性,还需要考虑成本、热管理和空间约束。其,电磁干扰(EMI)是电源设计的关键因素,因为过高的EMI不仅可能影响电源自身的工作效率,还...
工业电子的某伺服PWM驱动系统低通功率滤波电路优化设计
11-11
摘 要:伺服系统是控制系统的重要组成部分。其,PWM功率放大器是通过低通功率滤波电路连接直流力矩电动机,该滤波电路的性能对整个系统能否正常工作起着非常关键的作用。基于某伺服PWM驱动系统,使用Excel宏编写的...
WEB数据库低维子空间偏移定位仿真.pdf
11-07
WEB数据库低维子空间偏移定位仿真.pdf
低轨卫星多普勒数据处理技术研究.pdf
08-15
低轨卫星多普勒数据处理技术研究是指对低轨卫星多普勒数据进行处理和分析的技术研究,以提高数据的精度和可靠性。这项技术研究的主要目的是为了满足高精度定轨定位的需求。 多普勒频率模型特性是指低轨卫星...
WEB安全漏洞Cookie缺少相关安全属性(HttpOnly、Secure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性。 HttpOnly属性 浏览器通过document对象获取Cookie。HttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 3111
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性
【安全问题】加密会话SSLCookie 缺少 Secure 属性
热门推荐
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
AppScan扫描漏洞等):加密会话SSLCookie 缺少Secure属性
weixin_42249908的博客
05-31 2317
AppScan扫描漏洞等):加密会话SSLCookie 缺少Secure属性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值