Falta el atributo seguro en la sesión cifrada (SSL) Revisión de la cookie

Navega tus respuestas
1

Probé una aplicación web con una herramienta comercial (IBM AppScan) para la prueba de penetración. Encontré un error relacionado con la falta de atributo seguro en una cookie de sesión cifrada (SSL).

La aplicación web está escrita en .Net, así que he agregado este contenido a la configuración web: 

<httpCookies requireSSL="true" />

Luego, verifiqué la aplicación en el navegador con el complemento "Advanced Cookie Manager" en Firefox.

Resultados de Advanced Cookie Manager: algunos atributos de los valores de IsSecure son verdaderos, algunos son falsos.

Quiero verificar si esto es un falso positivo. ¿De qué otra manera puedo volver a verificar el atributo de seguridad?

    
pregunta dgn 31.12.2013 - 13:07
fuente

2 respuestas

2

Las cookies se pueden configurar varias veces, lo que puede dar como resultado atributos de cookies inseguros ( Secure y HTTPOnly ) y condiciones de raza. Las herramientas pueden producir falsos positivos, lo que realmente importa es si el navegador está usando la bandera correctamente. Para ver los atributos de seguridad de la cookie dentro de la consola del desarrollador del navegador (ctrl + shft + j).

Si la cookie se configura varias veces, el desafío es encontrar el controlador de solicitud mal configurado. Aquí está el proceso para localizar al culpable:

  1. Abre una nueva ventana privada en Firefox o Chrome.
  2. Abra la consola del desarrollador (ctrl + shift + j)
  3. Cargue la página que es responsable de configurar la cookie segura.
  4. Observe cada solicitud HTTP que contiene un elemento de encabezado HTTP set-cookie . encuentra uno que no tenga el indicador Secure .
respondido por el rook 31.12.2013 - 18:31
fuente
0

Use un rastreador como HTTP Analyzer, luego acceda a su sitio web. Obtendrá todo lo que vino y se fue de su navegador.

    
respondido por el Arun 01.01.2014 - 09:59
fuente

Lea otras preguntas en las etiquetas

Mejores prácticas para acceder al puerto de administración del firewall ¿Cómo protege IPSec contra la falsificación de IP?