安全なフラグが検出されない Cookie

low Web App Scanning プラグイン ID 98064

概要

安全なフラグが検出されない Cookie

説明

Cookie に「secure」フラグが設定されると、ブラウザは Cookie がクリアテキストチャネル (HTTP) に送信されないようにし、暗号化されたチャネルが使用されている場合 (HTTPS) にのみ送信を許可します。

スキャナーが、Cookie が安全なフラグが設定されていないサーバーによって設定されていることを検出しました。この Cookie の初期設定は HTTPS 接続を使用したものでしたが、同じサーバーへの HTTP リンクがあると、Cookie がクリアテキストで送信されます。

注意: Cookie に機密情報が含まれていない場合、この脆弱性のリスクは軽減されます。

ソリューション

Cookie に機密情報が含まれている場合、サーバーは Cookie に「secure」フラグが設定されていることを確認する必要があります。

参考資料

https://www.owasp.org/index.php/SecureFlag

プラグインの詳細

深刻度: Low

ID: 98064

タイプ: remote

ファミリー: Web Applications

公開日: 2017/3/31

更新日: 2023/12/11

スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan

リスク情報

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Low

基本値: 2.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Low

基本値: 3.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS スコアのソース: Tenable

参照情報