English

◀◁ 뒤로 취약점ID 210183 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 쿠키가 secure 플래그없이 설정되었습니다. 즉, 암호화되지 않은 연결을 통해 쿠키에 액세스 할 수 있습니다. 쿠키에 중요한 정보가 포함되어 있거나 세션 토큰 일 때는 항상 암호화 된 채널을 사용하여 전달해야합니다. 이러한 중요한 정보가 포함 된 쿠키에 대해 secure 플래그가 설정되어 있는지 확인하십시오. * 참고 사이트: https://www.owasp.org/index.php/SecureFlag http://www.owasp.org/index.php/Testing_for_cookies_attributes_(OWASP-SM-002) * 영향을 받는 플랫폼: Any operating system Any version 해결책 *Java Servlet 3.0 (Java EE 6)은 세션 쿠키의 보안 속성을 구성하는 표준 방법을 도입했습니다. 이는 web.xml에 다음 구성을 적용하여 수행 할 수 있습니다. [web.xml] <session-config> <cookie-config> <secure>true</secure> </cookie-config> </session-config> *Tomcat Tomcat 6에서 세션에 대한 첫 번째 요청이 https를 사용하는 경우 세션 쿠키에 보안 속성을 자동으로 설정합니다. [사용자 정의 헤더로 설정] String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure"); *PHP PHP가 관리하는 세션 쿠키의 경우 secure 플래그는 다음 매개 변수를 통해 영구적으로 설정됩니다. session.cookie_secure = True 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)