社区
ASP
帖子详情
运行环境IIS7.5 ASP程序,安全扫描,会话Cookie中缺少secure属性和会话Cookie中缺少HttpOnly属性 低危风险 应该如何解决?
qq_40405481
2017-10-11 09:06:16
运行环境IIS7.5 ASP程序,安全扫描,会话Cookie中缺少secure属性和会话Cookie中缺少HttpOnly属性 低危风险 应该如何解决?
...全文
2472
4
打赏
收藏
运行环境IIS7.5 ASP程序,安全扫描,会话Cookie中缺少secure属性和会话Cookie中缺少HttpOnly属性 低危风险 应该如何解决?
运行环境IIS7.5 ASP程序,安全扫描,会话Cookie中缺少secure属性和会话Cookie中缺少HttpOnly属性 低危风险 应该如何解决?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
4 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
什么都不能
2017-11-15
打赏
举报
回复
我觉得这纯属扯淡的一条,非要解决可以在IIS前搭建个nignx/haproxy/apache 做反向代理,在规则里配置加上httponly
hookee
2017-10-18
打赏
举报
回复
HttpOnly也要浏览器支持才有用,查一下 CSRF攻击的内容。
cnbjx
2017-10-11
打赏
举报
回复
不要太在意,不过建议加上HttpOnly,安全性更好。 ASP因功能限制,直接使用Response.Cookies 是无法加上 httponly ,可直接使用 Response.AddHeader "Set-Cookie" , "" 改造 具体格式为: Response.AddHeader "Set-Cookie", "sessionname=val; Domain=.163.com; Expires=Wed, 11-Oct-2017 03:45:43 GMT; Path=/;secure;httponly" 参数用 ; 分隔,session值使用 urlencode 编码,上面示例是完整的,假如不要Domain,不加就可以了。 多个session添加多条 Response.AddHeader "Set-Cookie", ""
silandn
2017-10-11
打赏
举报
回复
一般不用修改。
会话
Cookie
未设置
Secu
re
属性
漏洞
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的
cookie
数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的
Cookie
会被以
安全
的形式向服务器传输,也就是只能在HTTPS连接
中
被浏览器传递到服务器端进行
会话
验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到
Cookie
的具体内容。:如果在
Cookie
中
设置了
HttpOnly
属性
,那么通过
程序
(JS脚本、Applet等)将无法读取到。
ASP
.NET网站:
Cookie
中
缺少
Secu
re
属性
ASP
.NET的Web.config
中
进行如下配置: <?xml version="1.0" encoding="UTF-8"?> <system.web> <configuration> <http
Cookie
s
httpOnly
Cookie
s="true" requireSSL="true" />...
Appscan漏洞 之 加密
会话
(SSL)
Cookie
中
缺少
Secu
re
属性
近期Appscan
扫描
出漏洞加密
会话
(SSL)
Cookie
中
缺少
Secu
re
属性
,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的
cookie
、
会话
令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给
cookie
添加se...
Cookie
缺失
secu
re漏洞修复
0x00 漏洞背景
Cookie
Secu
re,是设置
COOKIE
时,可以设置的一个
属性
,设置了这个
属性
后,只有在https访问时,浏览器才会发送该
COOKIE
。 浏览器默认只要使用http请求一个站点,就会发送明文
cookie
,如果网络
中
有监控,可能被截获。 如果web应用网站全站是https的,可以设置
cookie
加上
Secu
re
属性
,这样浏览器就只会在https访问时,发送
cookie
。 攻击者即使窃听网络,也无法获取用户明文
cookie
。 0x01 修复思路 设置
cookie
时,加入
属性
2021-01-02
IIS
设置 1.1 创建SSL证书 点击左侧菜单栏顶部,点击“功能视图”里的“服务器证书”: 点击“创建自动签名证书”创建自动签名证书: 1.2 设置SSL证书 点开网站,在“功能视图”里点击“SSL设置”: 如图,设置SSL: 1.3 绑定SSL证书 点开网站,在右侧“操作”栏点击“绑定”: 添加“网站绑定”,选择https及刚刚创建的SSL证书,主机名(也就是域名)根据需要选设(
IIS
7默认不支持,需要在配置文件applicationHost.config里进行设置..
ASP
28,391
社区成员
357,060
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章