360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
提示轻微

Cookie没有HttpOnly标志

WASC Threat Classification

发现时间:

2016-06-30

漏洞类型:

其他

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:
目标主机Cookie没有设置HttpOnly标志,可导致Cookie可被客户端脚本读取到从而容易遭受跨站脚本攻击(XSS)

危害:
攻击者可能利用客户端脚本读取目标主机的Cookie,进而获取账户、模拟用户身份,甚至可以修改网页呈现给其他用户的内容。

解决方案:

对一些重要的Cookie添加HttpOnly标志
添加方法:
javaEE:
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
设置完毕后通过js脚本是读不到该cookie的,但使用如下方式可以读取    
Cookie cookies[]=request.getCookies();

Servlet3:
在web.xml中添加如下片段:


 
    true
    true
 



PHP4:    
header("Set-Cookie: hidden=value; httpOnly");

PHP5:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
最后一个参数为HttpOnly属性
 
C#:
HttpCookie myCookie = new HttpCookie("myCookie");
myCookie.HttpOnly = true;
Response.AppendCookie(myCookie);

VB.NET:
Dim myCookie As HttpCookie = new HttpCookie("myCookie")
myCookie.HttpOnly = True
Response.AppendCookie(myCookie)

在 .NET 1.1 中您需要手动添加:
Response.Cookies[cookie].Path += ";HTTPOnly";

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论