HTTPS會話裡的敏感Cookie沒有設定Secure屬性

本次主題為HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷漏洞的相關介紹。

一、什麼是HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷?

HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性,這可能導致使用者代理透過HTTP會話以純文字格式傳送這些cookie。

二、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷構成條件有哪些?

產品沒有在HTTPS會話中為Cookie設定'Secure'屬性。

三、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷會造成哪些後果?

這可能導致cookie在http請求中傳送，並使遠端攻擊者更容易捕獲此cookie。

四、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷的防範和修補方法有哪些?

新增Secure標誌。Secure屬性是防止資訊在傳遞的過程中被監聽捕獲造成資訊洩漏。當Secure標誌的值被設定為true時，表示建立的 Cookie 會被以安全的形式向伺服器傳輸，即只能在 HTTPS 連線中被瀏覽器傳遞到伺服器端進行會話驗證，如果是 HTTP 連線則不會傳遞該資訊，所以Cookie 的具體內容不會被盜取。

五、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷樣例：

 

用 悟空程式碼檢測上述程式程式碼，則可以發現程式碼中存在著“HTTPS會話裡的敏感Cookie沒有設定”Secure屬性” 導致的程式碼缺陷，如下圖：

 

HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷在CWE中被編號為CWE-614:Generation of Error Message Containing Sensitive Information