Cookie ASPSESSIONIDSACSARTD creada sin la marca httponly

Navega tus respuestas
1

Estoy aprendiendo ahora mismo sobre diferentes herramientas de análisis y encontré algo en un nikto scan anoche en un servidor VM que tengo. Dijo algo en la línea de:

  

Cookie ASPSESSIONIDSACSARTD creada sin la marca httponly.

Al principio lo descarté porque es un servidor vulnerable, por lo que también hay un millón de cosas que ver. Pero cuanto más lo pienso, más me molesta.

¿Qué se podría hacer con las cookies personalizadas? He intentado googlear esto, pero posiblemente sea el término de búsqueda más ambiguo. Mi conjetura es que usted podría inyectar comandos en las cookies.

Cualquier módulo de metasploit que pueda ver o sitios de referencia serán muy apreciados.

    
pregunta Anthony Russell 29.08.2016 - 14:23
fuente

3 respuestas

2

Con la actualización, veo el problema. HTTP solo marca el navegador solo permite al servidor configurar esta cookie. Esto evita que los scripts alteren los datos de las cookies. Es un informe bastante frecuente de Nikto.

Para obtener más información, consulte el tema OWASP

    
respondido por el Yorick de Wid 29.08.2016 - 15:40
fuente
4

Después de editar la pregunta:

Una cookie con el indicador HttpOnly no puede leerse mediante scripts del lado del cliente como Javascript (tenga en cuenta que el cliente el manejo de la respuesta HTTP debe ser compatible con el indicador HttpOnly).

Una página vulnerable a XSS puede robar la información de la sesión en las cookies y enviarlas a un atacante.

Si la bandera HttpOnly está activada, Javascript no puede leer las cookies, incluso si XSS está presente. Esto evita cosas como el secuestro de sesiones.

    
respondido por el Sravan 29.08.2016 - 14:54
fuente
1

Odio ser ese tipo, pero también odio ser el tipo que desperdicia el tiempo de las personas con cosas fáciles de buscar en Google. Después de regresar y encontrar la salida real de NikTo, pude encontrar fácilmente la documentación de OWASP

"HttpOnly - OWASP"

Si el indicador HttpOnly (opcional) está incluido en el encabezado de respuesta HTTP, no se puede acceder a la cookie a través del script del lado del cliente (de nuevo si el navegador admite este indicador). Como resultado, incluso si existe una falla de secuencias de comandos entre sitios (XSS), y un usuario accede accidentalmente a un enlace que explota esta falla, el navegador (principalmente Internet Explorer) no revelará la cookie a un tercero.

Si un navegador no es compatible con HttpOnly y un sitio web intenta establecer una cookie HttpOnly, el navegador ignorará la bandera HttpOnly, creando así una cookie tradicional accesible a través de scripts. Como resultado, la cookie (normalmente la cookie de su sesión) se vuelve vulnerable al robo de modificación por un script malicioso

    
respondido por el Anthony Russell 29.08.2016 - 15:38
fuente

Lea otras preguntas en las etiquetas

¿Son útiles varias iteraciones de bcrypt? ¿Cómo se anula una aplicación PHP y cómo evitarla?