检测

Web 应用程序会话 Cookie 未标记 HttpOnly

medium Nessus 插件 ID 48432

语言:

简介

HTTP 会话 Cookie 可能会受跨站脚本攻击的影响。

描述

远程 Web 应用程序使用 cookie 来跟踪经认证的用户。然而,这些 cookie 中有一个或多个未被标注为“HttpOnly”,这表示如 JavaScript 的恶意客户端脚本可读取。“HttpOnly”是用于防御跨站脚本攻击的安全机制,由 Microsoft 提出,最初在 Internet Explorer 中实施。所有新浏览器都支持该标记。请注意:- 在某些情况下可避开“HttpOnly”。- 缺少此属性并不表示 Web 应用程序会自动遭受跨站脚本攻击。- 有些 Web 应用程序需要通过客户端脚本操纵会话 Cookie,且无法设置“HttpOnly”属性。

解决方案

如有可能,请将“HttpOnly”属性添加至所有会话 Cookie。

另见

http://www.nessus.org/u?1c015bda

http://www.nessus.org/u?6752aae7

插件详情

严重性: Medium

ID: 48432

文件名: http_xss_session_cookie.nasl

版本: 1.9

类型: remote

系列: Web Servers

发布时间: 2010/8/25

最近更新时间: 2018/11/15

支持的传感器: Nessus

风险信息

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

参考资料信息

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990