Web アプリケーションクッキーが HttpOnly とマークされていません

info Nessus プラグイン ID 85601

概要

HTTP セッションクッキーは、クロスサイトスクリプティング攻撃に脆弱である可能性があります。

説明

リモート Web アプリケーションが、ユーザーの認証済みおよび非認証済みのセッションを通じて、さまざまなクッキーを設定します。ただし、そうしたクッキーの 1 つ以上が「HttpOnly」とマークされておらず、JavaScript などの悪意のあるクライアントサイドのスクリプトが、それらを読み取れることを意味します。HttpOnly フラグは、クロスサイトスクリプティング攻撃に対して保護するためのセキュリティメカニズムであり、Microsoft によって提案され、最初は Internet Explorer で実装されていました。すべての最新のブラウザは、現在それをサポートしています。

注意:このプラグインは HttpOnly クッキーフラグがないすべての一般的なクッキーを検出します。一方、プラグイン 48432(Web アプリケーションセッションが HttpOnly とマークされていません)は HttpOnly クッキーフラグのない認証済みセッションからだけセッションクッキーを検出します。

ソリューション

それぞれのクッキーを慎重に確認し、機密データを含んでいるか、あるいはセキュリティの決定の元となるかを判断します。

可能であれば、「HttpOnly」属性をすべてのセッションクッキーおよび機密データを含むすべてのクッキーに追加してください。

参考資料

https://www.owasp.org/index.php/HttpOnly

プラグインの詳細

深刻度: Info

ID: 85601

ファイル名: http_generic_httponly_cookies.nasl

バージョン: Revision: 1.1

タイプ: remote

ファミリー: Web Servers

公開日: 2015/8/24

更新日: 2015/8/24

サポートされているセンサー: Nessus

参照情報

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990