已修正 HTTP 工作階段 Cookie
medium Nessus Plugin ID 46201
語系:
概要
遠端 Web 應用程式受到一個工作階段固定弱點影響。說明
遠端網路應用程式使用 Cookie 追蹤已驗證的使用者。如果在驗證之前即已存在工作階段 cookie,它會在成功登入之後保持不變。遠端攻擊者可加以惡意利用,來劫持有效的使用者工作階段。
預期工作階段 cookie 在安全的 Web 應用程式中不可預測。如果可以操控 HTTP cookie (例如透過插入用戶端 JavaScript),則攻擊者不必中斷虛擬隨機產生器,web 應用程式容易遭受「工作階段固定」攻擊。
解決方案
修正應用程式,使系統在成功驗證後重新產生工作階段 cookie。另請參閱
https://en.wikipedia.org/wiki/Session_fixation
Plugin 詳細資訊
嚴重性: Medium
ID: 46201
檔案名稱: fixed_session_cookies.nasl
版本: 1.10
類型: remote
系列: Web Servers
已發布: 2010/4/30
已更新: 2018/11/15
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 5.1
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS v3
風險因素: Medium
基本分數: 5.6
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L