Pyramid 弱密钥
high Web App Scanning 插件 ID 114437
语言:
简介
Pyramid 弱密钥描述
Pyramid 应用程序使用应用程序密钥来加密和签署各种数据,包括会话 cookie 和其他敏感信息。此密钥通常存储在环境变量中,用于多种安全关键操作。如果使用强度较弱或容易猜中的应用程序密钥,就会损害整个应用程序的安全。攻击者可能解密敏感数据、伪造有效的会话 Cookie,甚至在某些情况下执行远程代码。
解决方案
用于签署应用程序中 cookie 的密钥必须更强(较长且随机),以防止通过暴力破解攻击对其进行检索。另见
https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html
https://docs.pylonsproject.org/projects/pyramid/en/latest/api/authentication.html
插件详情
严重性: High
ID: 114437
类型: remote
系列: Web Applications
发布时间: 2024/9/24
最近更新时间: 2024/9/24
扫描模板: api, basic, full, pci, scan
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CVSS 分数来源: Tenable
CVSS v4
风险因素: High
Base Score: 8.7
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: Tenable