360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
提示轻微

Apache服务器httpOnly cookie泄露

WASC Threat Classification

发现时间:

2015-09-14

漏洞类型:

信息泄露

所属建站程序:

其他

所属服务器类型:

Apache

所属编程语言:

其他

描述:

目标存在Apache服务器httpOnly cookie泄露。Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。默认用于状态代码400的错误应答存在缺陷,当没有配置定制ErrorDocument时会泄露"httpOnly" cookie息。

危害:

攻击者可利用该漏洞获取敏感cookie信息,继而有可能盗取各类用户甚至管理员的账号,甚至控制服务器、篡改数据。

影响系统
Apache Software Foundation Apache 2.2.21
Apache Software Foundation Apache 2.2.20
Apache Software Foundation Apache 2.2.19
Apache Software Foundation Apache 2.2.18
Apache Software Foundation Apache 2.2.17
 
不受影响系统 
Apache Software Foundation Apache 2.2.22-dev

解决方案:

Apache Software Foundation Apache 2.2.22-dev已经修复此漏洞

建议用户下载使用:http://httpd.apache.org

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论