English

◀◁ 뒤로 취약점ID 210184 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 쿠키가 HttpOnly 플래그없이 설정되었습니다. 즉, JavaScript로 쿠키에 액세스 할 수 있습니다. 이 페이지에서 악성 스크립트를 실행할 수 있으면 쿠키에 액세스하여 다른 사이트로 전송할 수 있습니다. 이것이 세션 쿠키 인 경우 세션 하이재킹이 가능할 수 있습니다. * 참고 사이트: https://www.owasp.org/index.php/HttpOnly * 영향을 받는 플랫폼: Any operating system Any version 해결책 *Java Servlet 3.0 (Java EE 6)은 세션 쿠키의 보안 속성을 구성하는 표준 방법을 도입했습니다. 이는 web.xml에 다음 구성을 적용하여 수행 할 수 있습니다. [web.xml] <session-config> <cookie-config> <http-only>true</http-only> </cookie-config> </session-config> *Tomcat Tomcat 6 context.xml에서 컨텍스트 태그의 속성 useHttpOnly 를 다음과 같이 설정하십시오. <?xml version="1.0" encoding="UTF-8"?> <Context path="/myWebApplicationPath" useHttpOnly="true"> *PHP PHP가 관리하는 세션 쿠키의 경우 HttpOnly 플래그는 다음 매개 변수를 통해 영구적으로 설정됩니다. session.cookie_httponly = True 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)