HTTPS會話裡的敏感Cookie沒有設定Secure屬性
本次主題為HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷漏洞的相關介紹。
一、什麼是HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷?
HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性,這可能導致使用者代理透過HTTP會話以純文字格式傳送這些cookie。
二、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷構成條件有哪些?
產品沒有在HTTPS會話中為Cookie設定'Secure'屬性。
三、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷會造成哪些後果?
這可能導致cookie在http請求中傳送,並使遠端攻擊者更容易捕獲此cookie。
四、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷的防範和修補方法有哪些?
新增Secure標誌。Secure屬性是防止資訊在傳遞的過程中被監聽捕獲造成資訊洩漏。當Secure標誌的值被設定為true時,表示建立的 Cookie 會被以安全的形式向伺服器傳輸,即只能在 HTTPS 連線中被瀏覽器傳遞到伺服器端進行會話驗證,如果是 HTTP 連線則不會傳遞該資訊,所以Cookie 的具體內容不會被盜取。
五、HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷樣例:
用 悟空程式碼檢測上述程式程式碼,則可以發現程式碼中存在著“HTTPS會話裡的敏感Cookie沒有設定”Secure屬性” 導致的程式碼缺陷,如下圖:
HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性缺陷在CWE中被編號為CWE-614:Generation of Error Message Containing Sensitive Information
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2790047/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 程式碼安全測試第二十七期:HTTPS會話裡的敏感Cookie沒有設定'Secure'屬性HTTP會話Cookie
- Cookie Secure 屬性Cookie
- Cookie設定HttpOnly屬性CookieHTTP
- javascript中cookie的secure屬性的作用簡單介紹JavaScriptCookie
- Cookie 的 SameSite 屬性Cookie
- 在JSP中的JavaBean設定靜態屬性和方法有沒有意義?JSJavaBean
- Cookie path 屬性Cookie
- Cookie domain 屬性CookieAI
- Cookie SameSite 屬性Cookie
- Cookie expires 屬性Cookie
- Cookie HttpOnly 屬性CookieHTTP
- 有沒有golang 敏感詞的專案Golang
- cookie Secure與HttpOnlyCookieHTTP
- XP系統顯示屬性裡沒有“桌面“選擇了(轉)
- jquery如何設定帶有important的樣式屬性jQueryImport
- 表屬性設定
- JavaScript設定屬性JavaScript
- cookie屬性詳解Cookie
- [譯] 理解 Cookie 的 SameSite 屬性Cookie
- jQuery設定disabled屬性與移除disabled屬性jQuery
- Xcode設定自己的個性屬性XCode
- CSS中常用的屬性設定CSS
- Gradle的屬性設定大全Gradle
- Cookie max-age 屬性Cookie
- 設定會話TRACE的方法(二)會話
- 設定會話TRACE的方法(一)會話
- 會話技術之Cookie會話Cookie
- cookie的設定Cookie
- selenium 如何定位沒有某個屬性的元素
- 將一個物件裡所有的空值屬性設定成null物件Null
- sys_context獲取當前會話的屬性Context會話
- 網路安全知識點中,Cookie有哪些安全屬性?Cookie
- 行內元素屬性設定
- Echarts中Option屬性設定Echarts
- 執行緒屬性設定執行緒
- jquery設定href屬性值jQuery
- Python的tkinter獲取元件屬性和設定元件屬性Python元件
- jQuery如何設定元素的屬性值jQuery