CGI ジェネリッククッキーインジェクションスクリプティング
medium Nessus プラグイン ID 44136
Language:
概要
リモート Web サーバーはクッキーインジェクション攻撃を受けやすいです。説明
リモート Web サーバーは、悪意のある JavaScript のあるリクエスト文字列を適切にサニタイズできない、1 つ以上の CGI スクリプトをホストしています。攻撃者はこの問題を利用することで、任意のクッキーを注入できることがあります。Web アプリケーションの構造によっては、この機構を使用して「セッション固定」攻撃を実行できることがあります。
以下に注意してください。
- Nessus では、セッション固定攻撃が実現可能か確認しませんでした。
- これは、セッション固定の唯一のベクトルではありません。
ソリューション
脆弱なアプリケーションへのアクセスを制限してください。パッチまたはアップグレードについては、ベンダーにお問い合わせください。参考資料
https://en.wikipedia.org/wiki/Session_fixation
https://www.owasp.org/index.php/Session_Fixation
http://www.acros.si/papers/session_fixation.pdf
http://projects.webappsec.org/w/page/13246960/Session%20Fixation
プラグインの詳細
深刻度: Medium
ID: 44136
ファイル名: torture_cgi_cookie_manip.nasl
バージョン: 1.20
タイプ: remote
ファミリー: CGI abuses
公開日: 2010/1/25
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests