Web 應用程式 Cookie 未標記為安全

info Nessus Plugin ID 85602

概要

HTTP 工作階段 cookie 可能以純文字格式傳輸。

說明

遠端 Web 應用程式可在使用者未經驗證和經驗證的工作階段中設定各種 Cookie。但是某些情況下,當應用程式透過未加密的 HTTP 或未標記為「安全」的 cookie 執行,表示瀏覽器可透過未加密的連結將其傳送回去。因此,遠端攻擊者可能攔截這些 Cookie。

請注意,此外掛程式會偵測所有遺漏「安全」旗標的一般 cookie,而外掛程式 49218 (Web 應用程式工作階段 Cookie 未標記為安全) 只會偵測遺漏安全 cookie 旗標之經驗證工作階段的工作階段 cookie。

解決方案

每種 Cookie 都應仔細檢閱,判斷其中是否含有敏感資料,或是進行安全性決策時是否須加以依賴。

如果可行,確保所有通訊皆透過加密通道進行,並新增「安全」屬性至所有工作階段 cookie 或任何含有敏感資料的 cookie。

另請參閱

https://www.owasp.org/index.php/SecureFlag

Plugin 詳細資訊

嚴重性: Info

ID: 85602

檔案名稱: http_generic_secure_cookies.nasl

版本: Revision: 1.1

類型: remote

系列: Web Servers

已發布: 2015/8/24

已更新: 2015/8/24

支援的感應器: Nessus

參考資訊

CWE: 522, 718, 724, 928, 930