Web 应用程序 Cookie 未标记安全

info Nessus 插件 ID 85602

简介

HTTP 会话 Cookie 可能以明文传输。

描述

远程 web 应用程序会在用户的未认证和认证会话中设置各种 Cookie。但也有应用程序在未加密的 HTTP 上运行或者 Cookie 未标记“secure”的实例,这意味着浏览器在某些情况下可通过未加密的链路将它们传回。因此,远程攻击者可能会拦截这些 Cookie。

请注意,此插件会检测所有缺少“secure”Cookie 标记的一般 Cookie,而插件 49218 (Web Application Session Cookies Not Marked Secure) 只检测认证的会话中缺少安全 Cookie 标记的会话 Cookie。

解决方案

应当认证检查每个 Cookie,以确定其是否包含敏感数据,或是否针对安全决策对其进行依赖。

尽可能确保所有通信通过加密的通道进行,并且对所有会话 Cookie 或包含敏感数据的任何 Cookie 添加“secure”属性。

另见

https://www.owasp.org/index.php/SecureFlag

插件详情

严重性: Info

ID: 85602

文件名: http_generic_secure_cookies.nasl

版本: Revision: 1.1

类型: remote

系列: Web Servers

发布时间: 2015/8/24

最近更新时间: 2015/8/24

支持的传感器: Nessus

参考资料信息

CWE: 522, 718, 724, 928, 930