ASP 会话Cookie中缺少HttpOnly属性和secure属性 这个低危漏洞如何解决

KFCILIKEIT 2020-06-30 09:25:34
加过这一段代码 Response.AddHeader "Set-Cookie", "sessionname=val; Domain=.163.com; Expires=Wed, 11-Oct-2017 03:45:43 GMT; Path=/;secure;httponly" 还是能扫出来
...全文
3503 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
qq_20763435 2021-06-12
  • 打赏
  • 举报
 回复 1

在页面头部添加<%@ EnableSessionState="false" %>  就可以干掉session

KFCILIKEIT 2020-07-01
  • 打赏
  • 举报
 回复
自己定义的cookie可以设置,针对程序自己生成的如何设置,图中的cookie自动生成的。
浴火_凤凰 2020-06-30
  • 打赏
  • 举报
 回复
Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" 试试这个 这个可以 说明你上面的有语法错误 起码cookie不要设置顶级域名 而且你的域名也设置的不对 ‘你不能设置为163.com’
KFCILIKEIT 2020-06-30
  • 打赏
  • 举报
 回复
图片中的cookie怎么来的 如何设置
AlexSkrindo 2021-06-15
  • 举报
 回复
@KFCILIKEIT 解决了吗 我现在也遇到这个问题了 能请教一下吗
Session CookieHttpOnlysecure属性
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
Web项目:会话Cookie缺少HttpOnly属性secure属性
会话Cookie不含有HttpOnly属性secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。 基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly属性,才能防止会话 cookie...
会话cookie缺少HttpOnly属性漏洞--分析解决
详细描述会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
检测到会话cookie缺少HttpOnly属性
解决方案01:在会话cookie添加HttpOnly属性 具体操作步骤如下: HttpServletResponse response2 = (HttpServletResponse)response; response2.setHeader( "Set-Cookie", "name=value; HttpOnly"); 解决方案02(建议使用):在会话cookie添加HttpOnly属...
安全检测:会话cookie缺少HttpOnly属性
安全测试时,有时会检查出检测到会话cookie缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
ASP

28,391

社区成员

357,059

社区内容

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章