偵測到沒有 Secure 旗標的 Cookie
low Web App Scanning Plugin ID 98064
語系:
概要
偵測到沒有 Secure 旗標的 Cookie說明
對 Cookie 設定「secure」旗標時,瀏覽器會阻止透過純文字通道 (HTTP) 傳送 Cookie,只有在使用加密通道 (HTTPS) 時才允許傳送。掃描程式發現伺服器設定了一個 Cookie,但未設定「secure」旗標。雖然此 Cookie 的初始設定是透過 HTTPS 連線傳送,但任何連至相同伺服器的 HTTP 連結都會導致 Cookie 以純文字傳送。
請注意,如果 Cookie 不包含敏感資訊,則此弱點的風險會降低。
解決方案
如果 Cookie 包含敏感資訊,則伺服器應確保 Cookie 已設定「secure」旗標。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 98064
類型: remote
系列: Web Applications
已發布: 2017/3/31
已更新: 2023/12/11
掃描範本: basic, config_audit, full, overview, pci, quick, scan
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable
參考資訊
CWE: 614
OWASP: 2010-A9, 2013-A6, 2017-A3, 2021-A5
WASC: Insufficient Transport Layer Protection
CAPEC: 102
DISA STIG: APSC-DV-002220
HIPAA: 164.312(a), 164.312(e)
ISO: 27001-A.10.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.18.1.5
NIST: sp800_53-SC-13
OWASP ASVS: 4.0.2-3.4.1
PCI-DSS: 3.2-6.5.10