検出

HttpOnly とマークされていない Web アプリケーションセッションのクッキー

medium Nessus プラグイン ID 48432

Language:

概要

HTTP セッションクッキーは、クロスサイトスクリプティング攻撃に脆弱である可能性があります。

説明

リモート Web アプリケーションはクッキーを使用して、認証されたユーザーを追跡します。ただし、それらの 1 つ以上のクッキーは「HttpOnly」とマークされていません。これは、JavaScript などの悪意のあるクライアント側のスクリプトが、それらを読み取る可能性があることを示しています。

「HttpOnly」は、Microsoft により提案された、クロスサイトスクリプティング攻撃から保護するためのセキュリティメカニズムであり、Internet Explorer に初めて実装されました。現在のどのブラウザも、それをサポートしています。

注意:

- 場合によっては、「HttpOnly」を回避することができます。

- この属性がなくても、Web アプリケーションはクロスサイトスクリプティング攻撃に自動的に脆弱であることを示すとは限りません。

- 一部の Web アプリケーションは、クライアント側のスクリプトからセッションクッキーを操作する必要があり、「HttpOnly」属性を設置することはできません。

ソリューション

できる限り、「HttpOnly」属性をすべてのセッションクッキーに追加してください。

参考資料

http://www.nessus.org/u?1c015bda

http://www.nessus.org/u?6752aae7

プラグインの詳細

深刻度: Medium

ID: 48432

ファイル名: http_xss_session_cookie.nasl

バージョン: 1.9

タイプ: remote

ファミリー: Web Servers

公開日: 2010/8/25

更新日: 2018/11/15

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

参照情報

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990