偵測

Web 應用程式工作階段 Cookie 未標記為安全

medium Nessus Plugin ID 49218

語言:

概要

HTTP 工作階段 cookie 可以純文字格式傳輸。

說明

遠端網路應用程式使用 Cookie 追蹤已驗證的使用者。但是某些情況下,當應用程式透過未加密的 HTTP 或未標記為「安全」的 cookie 執行,表示瀏覽器可透過未加密的連結將其傳送回去。

因此,遠端攻擊者可能攔截這些 Cookie。

解決方案

- 在僅提供 SSL (HTTPS) 的伺服器上主控 Web 應用程式。

- 將所有 cookie 標記為「安全」。

另請參閱

http://www.nessus.org/u?1c015bda

Plugin 詳細資訊

嚴重性: Medium

ID: 49218

檔案名稱: http_insecure_session_cookie.nasl

版本: 1.11

類型: remote

系列: Web Servers

已發布: 2010/9/14

已更新: 2018/11/15

支援的感應器: Nessus

參考資訊

CWE: 522, 718, 724, 928, 930