Session Cookies Not Marked as Secure

于 2021-05-28 23:56:09 发布
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞 文章标签: tomcat session 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zenglingmin8/article/details/117376214
版权

漏洞扫描结果:

Session Cookies Not Marked as Secure

详细描述信息:

Session cookies for the application are not set secure and may be sent in clear text when a user surfs to non-HTTPS links within the application. It may be possible for an attacker to steal sensitive user information that will be used later for user impersonation or

Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.这些cookie中保存特定使用者的session ID标识,而且相同的session ID以及session生命周期内相关的数据也在服务器端保存。在web应用中最常用的session管理方式是通过每次请求的时候将cookies传送到服务器端来进行session识别。

你可以设置附加的secure标识来提示浏览器只能通过Https(加密方式)方式来传输cookie,Http(未加密方式)方式则不可以。这种方式来保证你的session cookie对于攻击者是不可见的,避免中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)。这并不是一个完美的session安全管理方案,却是一个重要的步骤。

经过分析,问题出在tomcat上,遂调整tomcat配置。

修改tomcat的web.xml文件,找到session-config相关配置,调整优化如下:

........
    <session-config>
        <session-timeout>60</session-timeout>
        <cookie-config>
            <secure>true</secure>
        </cookie-config>
    </session-config>
.......

重启tomcat,然后重新进行漏洞扫描,漏洞告警消失。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值