为父域设置的 Cookie 集
info Web App Scanning 插件 ID 98062
语言:
简介
为父域设置的 Cookie 集描述
HTTP 本身为无状态协议。因此,服务器无法确定哪些请求是由哪个客户端执行的,以及哪些客户端经过身份验证或未经身份验证。在标头内使用 HTTP Cookie 可让 Web 服务器识别每个单独的客户端,从而确定哪些客户端持有有效的身份验证信息,哪些不持有。这被称为会话 Cookie。
当服务器设置 Cookie(发送 HTTP 响应的标头)时,可设置多个标记,以配置 Cookie 的属性以及浏览器的处理方式。
其中一个标记代表可以使用 Cookie 的主机或域。
当 Cookie 是针对父域而非主机设置时,这可能表示相同的 Cookie 可用于访问该域内的其他主机。尽管这有很多合理的原因,但也可能是错误配置扩大了潜在攻击面。
解决方案
修复的第一步是识别在其中设置 Cookie 的上下文,并确定是整个域需要它,还是只是正在测试的特定主机。如果仅为主机所需,则应原样设置域标记。
根据使用的框架,将以不同方式修改此标记的配置。
另见
https://www.owasp.org/index.php/Testing_for_cookies_attributes_(OTG-SESS-002)
插件详情
严重性: Info
ID: 98062
类型: remote
发布时间: 2017/3/31
最近更新时间: 2023/12/11
扫描模板: basic, config_audit, full, overview, pci, quick, scan