Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下:
1.1、攻击原理
任何以明文形式发送到服务器的 cookie、会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。
1.2、修复建议
给cookie添加secure属性
1.3、修复代码示例
1)服务器配置为HTTPS SSL方式
2)Servlet 3.0 (Java EE 6)的web.xml 进行如下配置:
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>
3)ASP.NET的Web.config中进行如下配置:
<httpCookies requireSSL="true" />
4)php.ini中进行如下配置
session.cookie_secure = True
或者
void session_set_cookie_params ( int $lifetime [, string $path [, string $domain
[, bool $secure= false [, bool $httponly= false ]]]] )
或者
bool setcookie ( string $name [, string $value [, int $expire= 0 [, string $path
[, string $domain [, bool $secure= false [, bool $httponly= false ]]]]]] )
5)weblogic中进行如下配置:
<wls:session-descriptor>
<wls:cookie-secure>true</wls:cookie-secure>
<wls:cookie-http-only>true</wls:cookie-http-only>
</wls:session-descriptor>
1.4、其它资料
https://www.owasp.org/index.php/SecureFlag
1.5、实际修复方案
方案一:项目使用的是WebShpere服务器,这个可以在服务器中进行设置:
其实这种修复方式和5.2修复建议2)给web.xml加配置的方式是一样的。这两种修复方式都是一定可以通过Appscan扫描的,只不过19环境需要支持https和http两种协议,以上两种方案的话,会导致http协议下的Cookie不能传输,从而导致http协议下的部分功能不能使用。现在暂时是以牺牲http协议下的功能不使用为代价以这种方案通过扫描的。
方案二:
如果给Cookie配置了secure属性,那么这个Cookie能在https协议中传输,但是不能在http协议中传输。而实际系统应用中要支持两种协议,这里可以通过request.getScheme()获取是哪种协议(这种方式https协议获取的也是http,奇怪,可以通过下面的方式判断是否是https协议)
String url = req.getHeader("Referer");
if(url.startsWith("https")){}
然后进行判断是否加这个属性:cookie.setSecure(true)。
而这种方案的话,只能对后期自己代码响应的Cookie做设置,而不能对容器自动响应的Cookie做设置。因此这里没有使用。
转载于:https://www.cnblogs.com/meInfo/p/9373856.html
Appscan漏洞 之 加密会话(SSL)Cookie 中缺少 Secure 属性相关推荐
- 检测到会话cookie中缺少HttpOnly属性
解决方案01:在会话cookie中添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)respons ...
- java cookie secure_Cookie的Secure属性
测试过程 支付页面: Secure属性为false,没有开启. 风险分析 Cookie未设置secure属性,攻击者可以通过嗅探HTTP形式的数据包获取到该cookie. 解决方法 将Cookie应设 ...
- php cookie httponly,Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法
吐槽的话就不说了,没什么意义,今天上午接到当地网安给我的 Web 应用安全评估报告,给泪雪网强行找出了几个低危漏洞要求处理,这种两个问题就是说会话 Cookie 中缺少 HTTPSOnly 属性,还有 ...
- cookie中出现重名的键
问题 Http请求中出现了两个同名Cookie,导致服务端获取到的错误的信息 原理 Cookie不仅仅有名字和值两个属性,还有域(domain).路径(path)等属性.其中,不同的域.不同的路径下可 ...
- Gmail有充分理由启用SSL加密会话
拉斯维加斯举行的Defcon黑客大会上展示了一种工具,能自动窃取Google Mail非加密会话ID,并进而攻占邮箱.来自旧金山的逆向工程师Mike Perry开发了这一工具,并计划在两周内发布,他表 ...
- 带你轻松认识SSL协议中的加密套件
什么是加密套件 加密套件(CipherList)是指在ssl通信中,服务器和客户端所使用的加密算法的组合.在ssl握手初期,客户端将自身支持的加密套件列表发送给服务器:在握手阶段,服务器根据自己的配置 ...
- SSL证书中的128位加密和256位加密有何区别?
大家在申请SSL证书的时候最先关注的应该是价格问题,其次才是品牌.类型.服务等等,对于SSL加密估计很少有朋友会去仔细查看或者辨别.下面就带大家来了解一下SSL证书中的128位加密和256位加密的区别 ...
- 爬虫:破解同花顺网js加密动态生成请求中所需要的cookie
看了半天帖子都是都是通过selenium破解js加密的,个人感觉用selenium破解js加密效率太低,而且繁琐,根据目前业务需求就自己研究了一下同花顺的js加密. 通过接口测试工具直接请求接口发现获 ...
- Java中 操作Servlet域中的值以及会话技术 cookie
XML文件<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="ht ...
最新文章
- Ipython的Window与Linux详细安装
- B1059 C语言竞赛
- springboot入门_shiro
- oracle锁表会话超时时间,ORACLE快速彻底Kill掉的会话,防止锁表
- 【codevs1163】访问艺术馆,圣战の终焉
- 一种在旧代码上增加新需求的重构模式
- 迁移solaris ufs根文件系统至zfs根文件系统
- #VSTS日志# Xamarin构建支持和一大波更新
- 目标检测(二): meanshift与camshift算法
- WareZ盗版组织揭密-服气了-纯技术牛人
- 怎么连接win10共享计算机,xp系统下怎么连接win10共享的打印机
- [个人笔记]FDTD100
- c++11 std::decay源码剖析
- 随便写的:新戏剧之王,一部广义上的烂片观后感
- dojo引用html模板,深入浅出dojo/request-本地HTML文件 带参数方案-遮罩层《一》_169IT.COM...
- SQL的语法与分类,语法示例+图片,贼吉尔详细!!!
- excel2019数字太长无法显示解决办法
- Python 爬虫第三步 -- 多线程爬虫爬取当当网书籍信息
- Python实现飞机大战-第二部分(附源码、素材、超详细教程)
- Spring boot整合Activemq的原理
热门文章
- 【Hadoop 分布式部署 五:分布式部署之分发、基本测试及监控】
- 1365 浴火银河星际跳跃 (并查集)
- C#使用Gecko实现浏览器
- 可以部署在广域网执行QQ高仿版 GG2014 (源代码)
- jQuery-1.9.1源码分析系列(十六)ajax——ajax处理流程以及核心函数
- 两点C#的propertyGrid的使用心得
- Spring.NET学习笔记10——方法的注入(基础篇) Level 200
- [Ray Linn]用Visual Studio 2008开发IE BHO(浏览器帮助对象) 之二
- Android的***.sh的开机服务添加
- uboot分析之bootm_start