IBM AppScan - 加密会话 (SSL) Cookie 中缺少安全属性

Posted

技术标签:

【中文标题】IBM AppScan - 加密会话 (SSL) Cookie 中缺少安全属性【英文标题】:IBM AppScan - Missing Secure Attribute in Encrypted Session (SSL) Cookie 【发布时间】:2020-10-06 15:24:05 【问题描述】:

根据 IBM App Scan DSAT 测试,我们发现 primefaces.download 的加密会话 (SSL) Cookie 中缺少安全属性问题。

Primefaces 版本是 7.0

示例:https://www.primefaces.org/showcase/ui/data/dataexporter/basic.xhtml

primefaces.download -- 当我们下载文件时设置这个 cookie

我们已经在 web.xml 中有 session-config,但是当我签入 chrome 时,primefaces.download cookie 没有设置为 http-only 和secured。

在 JBOSS 7.2 上运行时还有什么需要做的吗?

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">

..........

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>

更新: 提出的问题 https://github.com/primefaces/primefaces/issues/6040

【问题讨论】:

【参考方案1】:

已提交修复 9.0-SNAPSHOT 中问题的拉取请求。

https://github.com/primefaces/primefaces/pull/6041

【讨论】:

以上是关于IBM AppScan - 加密会话 (SSL) Cookie 中缺少安全属性的主要内容,如果未能解决你的问题,请参考以下文章

加密会话(SSL) Cookie 中缺少中Secure属性

因改漏洞而引申了解的Cookie机制!

解决IBM Security AppScan扫描出现检测到RC4密码套件问题

IBM Security AppScan Standard 用外部设备录制脚本(手机端应用app微信等)进行安全测试

AppScan工具介绍与安装

IBM Rational AppScan使用详细说明