会话Cookie未设置Secure属性漏洞

最新推荐文章于 2024-04-29 20:22:12 发布
最新推荐文章于 2024-04-29 20:22:12 发布
阅读量1.5k 收藏 21
点赞数 23
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51214674/article/details/135594208
版权

会话 Cookie 未设置 Secure 属性

定义

  • cookie:服务器端保存在浏览器端的数据片段,以 key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的 cookie 数据。网站经常使用这个技术来识别用户是否登陆等功能。

  • secure属性:当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。

  • HttpOnly属性:如果在Cookie中设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

image-20231212145017607

Name:这个是cookie的名字
Value:这个是cookie的值
Path:这个定义了Web站点上可以访问该Cookie的目录
Expires:这个值表示cookie的过期时间,也就是有效值,cookie在这个值之前都有效。
Size:这个表示cookie的大小

漏洞背景

​ 浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。

如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。

​ 攻击者即使窃听网络,也无法获取用户明文cookie。

漏洞描述

Web 应用程序设置了不含 Secure 属性的会话 Cookie,这意味着 Cookie 信息在传递的过程中容易被监听捕获造成信息泄露。标记为 SecureCookie 只会通过被 HTTPS 协议加密过的请求发送给服务端进行会话验证,它永远不会使用不安全的 HTTP 发送传输(本地主机除外),这意味着中间人攻击者无法轻松访问它。此外,在不安全的站点(在 URL 中带有 http://)无法使用 Secure 属性设置的 Cookie 值。

漏洞修复

  1. 在设置认证COOKIE时,加入Secure。

    参考代码:

    response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");

  2. 手工标识secure

如果在Servlet3或者更新的环境中开发,只需要在web.xml简单的配置来实现。只要在web.xml中添加如下片段

<session-config>
  <cookie-config>
    <secure>true</secure>
  </cookie-config>
</session-config>
  1. 在web.xml中添加一个对controller的过滤器
    <filter>
        <filter-name>cookie</filter-name>
        <filter-class>com.skycloud.bigdata.bdtm.authority.CookieFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>cookie</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>

CookieFilter.java脚本

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.Locale;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet Filter implementation class CookieFilter
 * 
 * 解决 Cookie未设置HttpOnly  &&  Cookie未设置Secure标识  问题
 * 
 * @author xiaheshun
 */
public class CookieFilter implements Filter {

    /**
     * Default constructor. 
     */
    public CookieFilter() {
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}

	/**
	 * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
	 */
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest)request; 
		HttpServletResponse resp = (HttpServletResponse)response;
		Cookie[] cookies = req.getCookies();
		if (cookies != null) {
			for (Cookie cookie : cookies) {
				String value = cookie.getValue();
				StringBuilder builder = new StringBuilder();
				builder.append(cookie.getName()+"="+value+";");
				builder.append("Secure;");//Cookie设置Secure标识
				builder.append("HttpOnly;");//Cookie设置HttpOnly
//				Calendar cal = Calendar.getInstance();
//				cal.add(Calendar.HOUR, 1);
//				Date date = cal.getTime();
//				Locale locale = Locale.CHINA;
//				SimpleDateFormat sdf = new SimpleDateFormat("dd-MM-yyyy HH:mm:ss",locale);
//				builder.append("Expires="+sdf.format(date));
				resp.addHeader("Set-Cookie", builder.toString());
				
			}
			
		}
		chain.doFilter(request, response);
	}

	/**
	 * @see Filter#init(FilterConfig)
	 */
	public void init(FilterConfig fConfig) throws ServletException {
		// TODO Auto-generated method stub
	}

}

在设置Set-Cookie的时候,用addHeader,如果用setHeader的话,就只是设置一个cookie值得头信息限制,其实在平时会有很多cookie里的主要参数信息需要限制,有的消息也会有不同的浏览器可以存储的时间,所有要一个一个遍历出来设置Cookie的信息。

§666§
关注
  • 23
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
WEB安全漏洞Cookie缺少相关安全属性(HttpOnly、Secure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性。 HttpOnly属性 浏览器通过document对象获取Cookie。HttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
Clario Secure Browsing-crx插件
04-03
语言:English 借助内置在一个智能隐私扩展程序的广告拦截器和反跟踪器,可以避免出现不安全的网站。 Clario Secure Browsing是一个智能的Chrome浏览器扩展程序,可确保您在网络上时始终受到保护。 它聪明,美观,友好且功能强大。 只需安装一次,它将在您搜索时毫不费力地标记不安全的站点。 无论您在哪里上网,该扩展程序都可以让您完全放心。 阻止广告和弹出窗口使您发疯-同时我们的跟踪器阻止程序使您的浏览活动不受广告客户和网站的影响。 让我们一起安全地浏览! 安全浏览实时避免恶意站点。 如果您打开的网站不受信任,我们会提醒您,因此您不会与其共享任何数据。 Clario Secure Browsing可以轻松地将您锁定在任何不受保护的以传播恶意软件和网络钓鱼而闻名的站点。 快速帮助泡泡无论您在哪里浏览,都可以找到一个私人同伴。 看到那个漂亮的小气泡吗? 看一下它的颜色:绿松石表示完全安全的网站,紫色表示不受信任的网站,猩红色的紫色表示您需要避免的不受保护的网站。 只需将鼠标悬停在气泡上,即可快速获取正在浏览的网站安全性的信息。 安全搜索在搜索查看站点的安全状态。 C
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置属性时会遇到的问题,以及设置属性的方式
Web项目:会话Cookie缺少HttpOnly属性secure属性
热门推荐
Agonie_25的博客
08-23 1万+
会话Cookie不含有HttpOnly属性secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly”属性,才能防止会话 cookie...
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的HttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
sunsineq的专栏
06-25 2276
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
cookiesecure属性详解
09-03
Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。
AppScan扫描漏洞等):加密会话(SSL)Cookie 缺少Secure属性
weixin_42249908的博客
05-31 2186
AppScan扫描漏洞等):加密会话(SSL)Cookie 缺少Secure属性
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 1851
PHP Apache 检测到会话cookie缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
Appscan漏洞之加密会话(SSL)Cookie缺少Secure属性
学者-微风
05-14 5855
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
enjoy.day
02-09 2855
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
PHP设置Cookie的HTTPONLY属性方法
10-20
下面小编就为大家带来一篇PHP设置Cookie的HTTPONLY属性方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django框架会话技术实例分析【Cookie与Session】
09-19
主要介绍了Django框架会话技术,结合实例形式分析了Django框架Cookie与Session相关使用技巧与注意事项,需要的朋友可以参考下
Android配置环境
u012627628的博客
04-24 348
执行命令:sudo mv /home/用户名/Downloads/android-sdk-linux /usr/java。sudo mv /home/用户名/Downloads/jdk1.8.0_271 /usr/java。执行命令:/usr/java/android-sdk-linux/tools/android。执行命令:tar -zxvf android-sdk-linux.tgz。执行 source /etc/profile。验证是否安装成功(我验证是成功的)执行:java -version。
PHP】sign加签方法示例
q8688的博客
04-25 400
【代码】【PHP】sign加签方法示例。
Web 服务器解析漏洞 原理以及修复方法
最新发布
it知识分享 free for nothing..
04-29 625
Web 服务器解析漏洞 原理以及修复方法
JetBrains PhpStorm v2024.1 安装教程 (PHP集成开发IDE)
wyqshusan的博客
04-23 617
PhpStorm是由JetBrains推出的一款轻量级集成开发环境,专为PHP开发者而设计。该软件融合了智能的HTML/CSS/JavaScript/PHP编辑器、代码质量分析工具、版本控制系统集成(包括SVN和GIT)、调试和测试等功能。除此之外,PhpStorm还提供了诸如代码自动完成、语法高亮、实时导航、实时错误检查和代码重构等实用功能。在新版本PhpStorm引入了许多新功能,并对现有功能进行了优化和调整。其包括新增了死代码检测功能,可以帮助检测出冗余代码,并突出显示之前可能被使用过的类、
网络之路29:三层链路聚合
衡水铁头哥的博客
04-28 542
正文共:1666 字 17 图,预估阅读时间:3 分钟目录网络之路第一章:Windows系统的网络0、序言 1、Windows系统的网络 1.1、桌面的网卡 1.2、命令行的网卡 1.3、路由表 1.4、家用路由器网络之路第二章:认识企业设备2、认识企业设备 2.1、MSR810-W外观 2.2、登录MSR810-W管理页面 2.3、快速设置上网 2.4、WLAN配置 2...
WordPress自动采集发布AutoPostPro汉化版插件
pengqingwen的博客
04-23 286
WP-AutoPostPro 是一款极为出色的WordPress自动采集发布插件,其显著优势在于能够从任何网站抓取内容并自动将其发布到你的WordPress网站上。它实现了对任何网页内容的自动采集和发布,整个采集过程完全自动化,无需手动操作。此外,它还提供了一系列实用功能,如内容筛选、HTML标签过滤、关键词替换、自动添加链接、自动生成标签、自动将远程图片保存到本地服务器、自动为文章添加前缀和后缀,以及使用微软翻译引擎将采集到的文章自动翻译成多种语言进行发布。
nginx 加密会话(ssl)cookie 缺少 secure 属性
07-16
在nginx,加密会话(ssl)cookie缺少secure属性secure属性是一个标记,用于确保cookie只能在通过HTTPS安全连接时传输。 缺少secure属性可能会导致安全风险。当缺少secure属性时,如果HTTP请求使用非加密的连接发送,那么cookie也会以明文形式传输,容易受到恶意攻击者的窃取或篡改。因此,为了保护敏感信息的安全性,应该始终向ssl会话cookie添加secure属性。 要在nginx添加secure属性,可以通过以下方式进行配置: 1. 打开nginx配置文件。 2. 找到相关的server或location块,这里设置了ssl参数。 3. 在该块内找到包含proxy_cookie_path或proxy_cookie_domain的语句。 4. 在语句添加"secure"属性,例如,proxy_cookie_path / "/; secure"。 5. 保存配置文件并重新加载nginx服务。 以上步骤将会使nginx服务器向客户端发送一个包含secure属性的加密会话cookie。这样,当使用非加密的HTTP协议发送请求时,浏览器将不会发送该cookie,保护了加密会话的安全性。 总之,通过为加密会话cookie添加secure属性,可以有效地提高安全性,并避免受到潜在的攻击威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

§666§

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值