Cookies de la aplicación web de EFT de Globalscape Scan and Globalscape no están marcadas como seguras

Navega tus respuestas
1

Tengo una situación en la que estamos realizando exploraciones de cumplimiento de PCI externas contra nuestro servidor de EFT de Globalscape. El escaneo está reportando:

HTTP (443 / tcp) - Cookies de aplicación web no marcadas como seguras

Según nuestro proveedor externo de cumplimiento de PCI:

  

Las cookies que deben tratarse son passchangesession y   sesión de inicio de sesión que se encuentra en la sección Detalles a la izquierda de la   Pestaña de solicitud de excepción. Para cada uno, necesitamos la siguiente información:   El nombre de la cookie detectada Una descripción de lo que se detectó   el propósito de la cookie es (por ejemplo, equilibrio de carga, seguimiento de terceros) si   Las cookies son cookies de sesión, luego se debe establecer la marca de seguridad   y una reexploración realizada para demostrar este cambio.

Cookies en cuestión: 

Name : passchangesession 

Name : loginsession

He confirmado que son cookies de sesión. Pero Globalscape no ha proporcionado una solución sobre cómo establecer el indicador de seguridad. Todo el tráfico de EFT también está restringido a TLS 1.2 HTTPS y negamos HTTP. Pero esto no es un control de compensación aceptable, o un hallazgo no válido por proveedor.

La respuesta de Globalscapes fue:

  

El servidor EFT protege sus cookies de sesión cuando se accede a través de HTTPS   (HTTP sobre SSL). Lo que el escáner está captando es un caso especial.   donde se accede al servidor a través de HTTP de texto sin formato y EFT   El servidor está redirigiendo la sesión temporalmente a HTTPS (para asegurar   la secuencia de inicio de sesión), y posteriormente (inicio de sesión posterior), de nuevo a HTTP. En   En el caso de las sesiones HTTP de texto sin formato, la marca de seguridad no debe ser   establecer para las galletas. Por favor, consulte la sección de recomendaciones a continuación para   más información.

¿Alguien más ha podido mitigar esto y / o haber aprobado una excepción?

    
pregunta Lee 07.09.2018 - 16:16
fuente

1 respuesta

2

No usar el indicador de seguridad en las cookies es un problema de seguridad crítico, independientemente de si el sitio está realmente disponible a través de HTTP o no. Un atacante de redes de hombre en el medio (MITM) puede robarlos muy fácilmente si no están marcados como seguros:

  1. El atacante encuentra un usuario que ha iniciado sesión en el sitio de destino.
  2. El atacante espera a que el usuario navegue literalmente a cualquier sitio a través de HTTP no seguro (no tiene que estar relacionado con el sitio de destino de ninguna manera).
  3. El atacante inyecta un elemento simple e invisible en la respuesta HTTP que activará una solicitud HTTP (por ejemplo, <script src="http://targetsite.com/"></script>,aunquelapáginaraízprobablementenoseaunasecuenciadecomandos).
  4. ElnavegadordelusuariointentaráconectarsealsitiodedestinoatravésdeHTTP,queelatacantepuedecompletarennombredelservidor(elservidornisiquieravelasolicitud,porloquenoimportaquenorespondaalassolicitudesHTTP).
  5. Elnavegadordelusuarioenviarálasolicitud,incluidastodaslascookiesconmarcanoseguraparaelsitiovulnerable;elatacantepuedecosecharlosfácilmente.

Paralosnavegadoresmodernos,esteataquepodríafrustrarsemedianteelusodeHTTPStrictTransportSecurity(HSTS)oposiblementelanuevamarcaSameSiteenlascookies,perounservidorquenousaSecureensusesiónprobablementenoestéusandoningunaEstasotrasmedidasdeseguridadtampoco,yencualquiercaso,noprotegeríanalosusuariosconnavegadoresantiguos.

RevisélabasedeconocimientosdeGlobalscapeynoviningunaformadeexigirlamarcadeseguridadenlascookiesdemanerauniversal.Elescenariodescrito,dondeseredirigealusuariodeHTTPaHTTPSparainiciarsesiónyluegovolveraHTTP,esNOTseguroynuncadebepermitirse(¡Firesheep,unaextensiónsimpledeFirefoxqueautomatizólosataquescontradichossitios,selanzóhacecasi8años!)

SiGlobalscapesiguepermitiendoesecomportamiento,debeconsiderarseunerrordeseguridadgraveensuproducto,ysuproveedordecumplimientoesabsolutamentecorrectoenquenoesadecuadoparausarconlainformacióndelatarjetadepago.Porotrolado,ustedafirmaquesolosepuedeaccederalservidordeEFTatravésdeHTTPS,encuyocaso(segúnladeclaracióndelacompañía),elescánernodeberíapoderactivarel"caso especial" donde las cookies se envían de forma insegura.

Sin más información (¿el Servidor EFT establece la marca de Seguridad si se accede a través de HTTPS? Si es así, ¿por qué el escáner fue capaz de obtener cookies inseguras, dado que usted dice que el servidor no está disponible a través de HTTP? no hay una solución a corto plazo), realmente no puedo decirle qué se necesitará para solucionar el problema a corto plazo. A largo plazo, debe convencer a Globalscape para que incorpore su seguridad web a esta década, aislarla detrás de un front-end que esté escrito pensando en la seguridad o cambiar de proveedor.

    
respondido por el CBHacking 07.09.2018 - 23:48
fuente

Lea otras preguntas en las etiquetas

Explique la vulnerabilidad de la clave precompartida para IKEv1 brute force IPSec Protocolo de terminal ligero para IoT