0x00 漏洞背景
Cookie Secure,是设置COOKIE时,可以设置的一个属性,设置了这个属性后,只有在https访问时,浏览器才会发送该COOKIE。
浏览器默认只要使用http请求一个站点,就会发送明文cookie,如果网络中有监控,可能被截获。
如果web应用网站全站是https的,可以设置cookie加上Secure属性,这样浏览器就只会在https访问时,发送cookie。
攻击者即使窃听网络,也无法获取用户明文cookie。
0x01 修复思路
设置cookie时,加入属性httponly,但需要注意几点问题:
1、在cookie类中没有找到设置httponly的方法,目前的jdk版本只支持在setHeader时,设置httponly。
2、httponly已经可以防止用户cookie被窃取,只能增加攻击者的难度,不能达到完全防御XSS攻击。
0x02 代码修复
在设置认证COOKIE时,加入Secure。参考代码:
response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");
服务器配置为HTTPS SSL方式
Servlet 3.0 (Java EE 6)的web.xml 进行如下配置:
<session-config>
<cookie-config>
<secure>true</secure>
</cookie-config>
</session-config>
ASP.NET的Web.config中进行如下配置:
<httpCookies requireSSL="true" />
php.ini中进行如下配置
session.cookie_secure = True
weblogic中进行如下配置:
<wls:session-descriptor>
<wls:cookie-secure>true</wls:cookie-secure>
<wls:cookie-http-only>true</wls:cookie-http-only>
</wls:session-descriptor>