程式碼安全測試第二十七期:HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性
一、什麼是HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷?
HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性,這可能導致使用者代理透過HTTP會話以純文字格式傳送這些cookie。
二、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷構成條件有哪些?
產品沒有在HTTPS會話中為Cookie設定'Secure'屬性。
三、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷會造成哪些後果?
這可能導致cookie在http請求中傳送,並使遠端攻擊者更容易捕獲此cookie。
四、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷的防範和修補方法有哪些?
新增Secure標誌。Secure屬性是防止資訊在傳遞的過程中被監聽捕獲造成資訊洩漏。當Secure標誌的值被設定為true時,表示建立的 Cookie 會被以安全的形式向伺服器傳輸,即只能在 HTTPS 連線中被瀏覽器傳遞到伺服器端進行會話驗證,如果是 HTTP 連線則不會傳遞該資訊,所以Cookie 的具體內容不會被盜取。
五、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷樣例:
用悟空 軟體靜態程式碼檢測工具分析 上述程式程式碼,則可以發現程式碼中存在著“ HTTPS會話裡的敏感Cookie沒有設定”Secure屬性” 導致的 程式碼缺陷,如下圖:
HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷在CWE中被編號為CWE-614:Generation of Error Message Containing Sensitive Information
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2778142/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- HTTPS會話裡的敏感Cookie沒有設定Secure屬性HTTP會話Cookie
- Cookie Secure 屬性Cookie
- Cookie設定HttpOnly屬性CookieHTTP
- javascript中cookie的secure屬性的作用簡單介紹JavaScriptCookie
- javascript設定cookie立即過期程式碼例項JavaScriptCookie
- 程式碼安全測試第二期:URL重定向(跳轉)漏洞
- 網路安全知識點中,Cookie有哪些安全屬性?Cookie
- javascript設定cookie立馬過期程式碼例項JavaScriptCookie
- 程式碼安全測試第十七期:物件只定義了Equals和Hashcode方法之一的漏洞物件
- 程式碼安全測試第十三期:敏感資訊的明文傳輸漏洞
- 軟體安全測試有哪些方法?在哪裡測試?
- 程式碼安全測試第二十九期:通用異常捕獲宣告缺陷漏洞
- 如何安全設定和檢測你的密碼安全性?密碼
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- 如何檢測程式碼中是否有重複的id屬性
- 提高應用程式安全性的測試和方法有哪些?
- Cookie 的 SameSite 屬性Cookie
- 在JSP中的JavaBean設定靜態屬性和方法有沒有意義?JSJavaBean
- JavaScript設定cookie立即過期JavaScriptCookie
- JavaScript設定cookie永不過期JavaScriptCookie
- 程式碼安全測試第六期:XPath注入漏洞
- Cookie path 屬性Cookie
- Cookie domain 屬性CookieAI
- Cookie SameSite 屬性Cookie
- Cookie expires 屬性Cookie
- Cookie HttpOnly 屬性CookieHTTP
- 剛剛有個問題貼 @ 醋精測試媛 selenium 如何定位沒有某個屬性的元素
- 有沒有golang 敏感詞的專案Golang
- cookie Secure與HttpOnlyCookieHTTP
- XP系統顯示屬性裡沒有“桌面“選擇了(轉)
- laravel 定義模型的區域性查詢作用域方法沒有PhpStorm沒有程式碼提示Laravel模型PHPORM
- jquery如何設定帶有important的樣式屬性jQueryImport
- JavaScript 設定cookie 過期時間JavaScriptCookie
- 程式碼安全測試第五期:OS命令注入漏洞
- 網站安全檢測 對帝國CMS程式碼的後臺功能性安全測試網站
- 表屬性設定
- JavaScript設定屬性JavaScript
- 程式碼安全測試第八期:Switch中缺少default導致的程式碼缺陷