Fortify Audit Workbench Cookie Security: Cookie not Sent Over SSL
Posted mahongbiao
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Fortify Audit Workbench Cookie Security: Cookie not Sent Over SSL相关的知识,希望对你有一定的参考价值。
Abstract
所创建的 cookie 的 secure 标记没有设置为 true。
Explanation
现今的 Web 浏览器支持每个 cookie 的 secure 标记。 如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie。 通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性。 如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要。
例 1: 在下面的示例中,在未设置 secure 标记的情况下将 cookie 添加到响应中。
Cookie cookie = new Cookie("emailCookie", email);
response.addCookie(cookie);
如果您的应用程序同时使用 HTTPS 和 HTTP,但没有设置 secure 标记,那么在 HTTPS 请求过程中设置的cookie 也会在随后的 HTTP 请求过程中被发送。 通过未加密的无线连接截取网络信息流对攻击者而言十分简单, 因此通过 HTTP 发送 cookie(特别是具有会话 ID 的 cookie)可能会危及应用程序安全。
Recommendation
对所有新 cookie 设置 Secure 标记,指示浏览器不要以明文形式发送这些 cookie。 可通过调用setSecure(true) 完成此配置。
例 2:
Cookie cookie = new Cookie("emailCookie", email);
cookie.setSecure(true);
response.addCookie(cookie)
以上是关于Fortify Audit Workbench Cookie Security: Cookie not Sent Over SSL的主要内容,如果未能解决你的问题,请参考以下文章
[ 代码审计篇 ] Fortify 安装及使用详解Fortify 下载安装并设置语言为中文导出中文报告
[Fortify][.NET]Unreleased Resource: Streams 排除
使用addr2line 定位 FORTIFY: vsprintf: prevented write past end of buffer‘ 报错解决思路