偵測到沒有 HttpOnly 旗標的 Cookie
low Web App Scanning Plugin ID 98063
語系:
概要
偵測到沒有 HttpOnly 旗標的 Cookie說明
HttpOnly 旗標可協助防止用戶端指令碼 (例如 JavaScript) 存取和使用 Cookie。這有助於阻止以包含用戶端工作階段權杖的 Cookie 為目標發動的 XSS 攻擊 (設定 HttpOnly 旗標無法阻止或防禦 XSS 弱點本身)。
解決方案
解決此問題的初始步驟是判斷是否有任何用戶端指令碼 (例如 JavaScript) 需要存取 Cookie,若不需要,則請設定 HttpOnly 旗標。請注意,部分較舊的瀏覽器與 HttpOnly 旗標不相容,因此設定此旗標無法保護這些用戶端不受此種形式的攻擊。
另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 98063
類型: remote
已發布: 2017/3/31
已更新: 2023/12/11
掃描範本: basic, config_audit, full, overview, pci, quick, scan
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v4
風險因素: Low
Base Score: 2.1
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVSS 評分資料來源: Tenable
參考資訊
CWE: 1004
OWASP: 2010-A9, 2013-A6, 2017-A3, 2021-A5
WASC: Application Misconfiguration
DISA STIG: APSC-DV-002210
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b
OWASP ASVS: 4.0.2-3.4.2
PCI-DSS: 3.2-6.5.10