我们的一位客户对我们的应用程序进行了渗透测试,并报告在使用 cookie 时缺少标志。
在设置 cookie 时,我们应该始终使用httpOnly和secure标记。
经过一些测试,我意识到 cookie 在设置时实际上使用了这个标志,但有一个例外:注销。
注销时,一些 cookie 设置了过去的到期日期,以删除该 cookie cookie,secure并且httpOnly未被使用。
这是否代表安全风险?设置过期 cookie 时设置这些标志是否有意义?
问问题
1386 次
1 回答
1
不,假设您的应用程序中没有漏洞,则该标志在注销时无关紧要。
但是,您应该按照渗透测试人员所说的去做,因为如果未设置标志,您的应用程序中可能存在其他可以使用此 cookie 进行利用的安全漏洞。换句话说,如果您的应用程序在其他方面是安全的,那么 cookie 就无关紧要,但它可能确实很重要,因为无法保证您的应用程序是安全的。
一个例子是一个应用程序没有正确终止或关闭会话。注销 cookie 发送给客户端时没有标记,因此会以某种方式(例如 MitM 或 Wire Sniffing)受到损害。攻击者将 cookie 连同任何其他旨在利用漏洞的任意数据一起提交回应用程序,从而触发漏洞并通过恢复前一个漏洞或接收新会话来获得实时会话(如著名的 NULL 会话攻击) .
这是一个安全漏洞的经典案例,它本身无用,但添加了一个链接到可用于获得妥协的链。
于 2013-07-25T19:30:22.287 回答