Cookie存储在浏览器端(用户本地),攻击者能够通过脚本、工具等截获cookie信息,窃取Cookie中的敏感信息(若有),或利用Cookie进行欺骗(模拟身份验证),获得用户的隐私信息,造成更大的危害。
检测方法:
1)获取系统登陆后的请求包,查看系统请求时的请求包中cookie是否包含账号密码等敏感信息
2)查看cookie是否使用HttpOnly属性,浏览器F12,在会话中输入javascript:alert(document.cookie),检查是否弹出用户会话信息
解决方法:
1. 设置cookie有效期不要过长,合适即可。
2. Cookie中不能存储敏感信息。
3. 设置HttpOnly属性为true,可以防止js脚本读取cookie信息,有效地缓解XSS攻击。
4. 若网站支持https,则可以为cookie设置Secure属性为true,cookie只能使用https协议发送给服务器