Web サーバーでの汎用クッキーの注入
medium Nessus プラグイン ID 44135
Language:
概要
リモート Web サーバーはクッキー注入攻撃を受けやすくなっています。説明
リモートホストで実行されている Web サーバーは、悪意のある JavaScript のリクエスト文字列を適切にサニタイズできません。攻撃者はこの問題を利用することで、任意のクッキーを注入できることがあります。Web アプリケーションの構造によっては、この機構を使用して「セッション固定」攻撃を実行できることがあります。以下に注意してください。
- Nessus では、セッション固定攻撃が実現可能か確認しませんでした。
- これは、セッション固定の唯一のベクトルではありません。
ソリューション
パッチまたはアップグレードについては、ベンダーにお問い合わせください。参考資料
https://en.wikipedia.org/wiki/Session_fixation
https://www.owasp.org/index.php/Session_Fixation
http://www.acros.si/papers/session_fixation.pdf
http://projects.webappsec.org/w/page/13246960/Session%20Fixation
プラグインの詳細
深刻度: Medium
ID: 44135
ファイル名: cookie_manipulation.nasl
バージョン: 1.13
タイプ: remote
ファミリー: CGI abuses
公開日: 2010/1/25
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N