检测到无安全标记的 Cookie
low Web App Scanning 插件 ID 98064
语言:
简介
检测到无安全标记的 Cookie描述
当 Cookie 设置了 `secure` 标记时,浏览器将阻止其通过明文通道 (HTTP) 发送,而且仅在使用了加密通道 (HTTPS) 时才允许发送。扫描程序发现服务器设置了未设置安全标记的 Cookie。尽管此 Cookie 的初始设置是通过 HTTPS 连接,但指向同一服务器的任何 HTTP 链接都将导致 Cookie 以明文发送。
请注意,如果 Cookie 不包含敏感信息,则可缓解此漏洞的风险。
解决方案
如果 Cookie 包含敏感信息,则服务器应确保 Cookie 已设置 `secure` 标记。另见
https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html#secure-attribute
插件详情
严重性: Low
ID: 98064
类型: remote
发布时间: 2017/3/31
最近更新时间: 2023/12/11
扫描模板: basic, config_audit, full, overview, pci, quick, scan
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
CVSS v4
风险因素: Low
Base Score: 2.1
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: Tenable
参考资料信息
CWE: 614
OWASP: 2010-A9, 2013-A6, 2017-A3, 2021-A5
WASC: Insufficient Transport Layer Protection
CAPEC: 102
DISA STIG: APSC-DV-002220
HIPAA: 164.312(a), 164.312(e)
ISO: 27001-A.10.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.18.1.5
NIST: sp800_53-SC-13
OWASP ASVS: 4.0.2-3.4.1
PCI-DSS: 3.2-6.5.10