父網域的 Cookie 集
info Web App Scanning Plugin ID 98062
語系:
概要
父網域的 Cookie 集說明
HTTP 本身是一種無狀態的通訊協定,因此伺服器無法判斷哪個用戶端執行了哪些要求,以及哪些用戶端經過驗證或未經驗證。如果在標頭內使用 HTTP Cookie,Web 伺服器就可以識別每個個別的用戶端,並因此判斷哪些用戶端持有有效驗證,而哪些沒有。這些稱為「工作階段 Cookie」。
伺服器設定 Cookie 時 (傳送 HTTP 回應的標頭),可設定數個旗標來設定 Cookie 的屬性,以及瀏覽器處理 Cookie 的方式。
其中一個旗標代表可使用 Cookie 的主機或網域。
當針對父網域而非主機設定 Cookie 時,這可能表示可使用相同的 Cookie 來存取該網域內的其他主機。雖然造成此問題的合理原因有很多,但也可能是設定錯誤擴大了可能的攻擊範圍。
解決方案
修復的第一個步驟是識別設定 Cookie 的情境,並判斷是整個網域需要 Cookie,還是僅正在測試的特定主機需要。如果只有主機需要,則網域旗標也應如此設定。
視所使用的架構而定,可以使用不同方式修改此旗標的設定。
另請參閱
https://www.owasp.org/index.php/Testing_for_cookies_attributes_(OTG-SESS-002)
Plugin 詳細資訊
嚴重性: Info
ID: 98062
類型: remote
系列: Web Applications
已發布: 2017/3/31
已更新: 2023/12/11
掃描範本: basic, config_audit, full, overview, pci, quick, scan