親ドメインの Cookie 設定

info Web App Scanning プラグイン ID 98062

概要

親ドメインの Cookie 設定

説明

HTTP 自体は、ステートレスなプロトコルです。したがって、サーバーは、どのクライアントがどのリクエストを実行し、どのクライアントが認証済みまたは未認証であるかを判断できません。

ヘッダー内で HTTP Cookie を使用すると Web サーバーは個々のクライアントを識別できるため、有効な認証を保持しているクライアントと保持していないクライアントを特定できます。これらは、セッション Cookie として知られています。

Cookie がサーバーによって設定されている場合 (HTTP 応答のヘッダーが送信されます)、いくつかのフラグのフラグを設定して Cookie のプロパティとブラウザでの処理方法を構成することができます。

これらのフラグの 1 つは、Cookie を使用できるホストまたはドメインを表します。

ホストではなく親ドメインに Cookie が設定されている場合、同じ Cookie がそのドメイン内の他のホストへのアクセスに使用されている可能性があります。これには多くの正当な理由がありますが、構成ミスによってアタックサーフェスが拡大している場合もあります。

ソリューション

修正のための最初のステップは、Cookie が設定されているコンテキストを特定し、ドメイン全体で必要かテストされている特定のホストでのみ必要かを判断することです。
ホストのみが必要とする場合は、ドメインフラグをそのように設定する必要があります。
使用されているフレームワークに応じて、このフラグの構成はさまざまな方法で変更されます。

参考資料

https://www.owasp.org/index.php/Testing_for_cookies_attributes_(OTG-SESS-002)

プラグインの詳細

深刻度: Info

ID: 98062

タイプ: remote

ファミリー: Web Applications

公開日: 2017/3/31

更新日: 2023/12/11

スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan