安全とマークされていない Web アプリケーションセッションのクッキー
medium Nessus プラグイン ID 49218
Language:
概要
HTTP セッションクッキーは、平文で送信される場合があります。説明
リモート Web アプリケーションはクッキーを使用して、認証されたユーザーを追跡します。ただし、暗号化されていない HTTP でアプリケーションが実行中のインスタンスがあるか、またはクッキーが「安全」とマークされていません。つまり、ブラウザは、特定の状況で、それらを暗号化されていないリンクで送り返す可能性があることを示しています。結果として、リモートの攻撃者がこれらのクッキーを傍受できる可能性があります。
ソリューション
- SSL(HTTPS)のみを提供するサーバーで、Web アプリケーションをホストします。- すべてのクッキーを「安全」としてマークします。