近期?Appscan掃描出漏洞?加密會話（SSL）Cookie 中缺少 Secure 屬性，已做修復，現進行總結如下：

1.1、攻擊原理

　　任何以明文形式發(fā)送到服務器的 cookie、會話令牌或用戶憑證之類的信息都可能被竊取，并在稍后用于身份盜竊或用戶偽裝，此外，若干隱私法規(guī)指出，用戶憑證之類的敏感信息要始終以加密的方式發(fā)送到 Web 站點。

1.2、修復建議

　　給cookie添加secure屬性

1.3、修復代碼示例

　　1）服務器配置為HTTPS SSL方式

　　2）Servlet 3.0 (Java EE 6)的web.xml 進行如下配置：

　　<session-config> 　　 <cookie-config> ?　　 <secure>true</secure> 　　 </cookie-config> 　　</session-config>

　　3）ASP.NET的Web.config中進行如下配置：

　　?<httpCookies requireSSL="true" />

　　4）php.ini中進行如下配置

　　session.cookie_secure = True

　　或者

　　void session_set_cookie_params? ( int $lifetime? [, string $path? [, string $domain? ??????????????????????????????????[, bool $secure= false? [, bool $httponly= false? ]]]] )

　　或者

　　bool setcookie? ( string $name? [, string $value? [, int $expire= 0? [, string $path? ?????????????????[, string $domain? [, bool $secure= false? [, bool $httponly= false? ]]]]]] )

　　5）weblogic中進行如下配置：

　　<wls:session-descriptor>? ??? 　　<wls:cookie-secure>true</wls:cookie-secure> ???? 　　<wls:cookie-http-only>true</wls:cookie-http-only> ?　　</wls:session-descriptor>

1.4、其它資料

　　https://www.owasp.org/index.php/SecureFlag

1.5、實際修復方案

　　方案一：項目使用的是WebShpere服務器，這個可以在服務器中進行設置：?

　　其實這種修復方式和5.2修復建議2)給web.xml加配置的方式是一樣的。這兩種修復方式都是一定可以通過Appscan掃描的，只不過19環(huán)境需要支持https和http兩種協(xié)議，以上兩種方案的話，會導致http協(xié)議下的Cookie不能傳輸，從而導致http協(xié)議下的部分功能不能使用。現在暫時是以犧牲http協(xié)議下的功能不使用為代價以這種方案通過掃描的。

?

　　方案二：

　　如果給Cookie配置了secure屬性，那么這個Cookie能在https協(xié)議中傳輸，但是不能在http協(xié)議中傳輸。而實際系統(tǒng)應用中要支持兩種協(xié)議，這里可以通過request.getScheme()獲取是哪種協(xié)議（這種方式https協(xié)議獲取的也是http，奇怪，可以通過下面的方式判斷是否是https協(xié)議）

　　String url = req.getHeader("Referer");?? ???

　　if(url.startsWith("https")){}

　　然后進行判斷是否加這個屬性：cookie.setSecure(true)。

　　而這種方案的話，只能對后期自己代碼響應的Cookie做設置，而不能對容器自動響應的Cookie做設置。因此這里沒有使用。

轉載于:https://www.cnblogs.com/meInfo/p/9373856.html

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的Appscan漏洞 之 加密会话（SSL）Cookie 中缺少 Secure 属性的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。