IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法

最新推荐文章于 2023-05-31 11:16:19 发布
最新推荐文章于 2023-05-31 11:16:19 发布
阅读量2.9k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013310119/article/details/84860315
本文分析了IBMSecurityAppScanStandard安全报告中指出的问题,即在启用Https时,未正确设置cookie的Secure属性。文章提供了两种解决方案:一是配置服务器使用HttpsSSL方式;二是通过响应头设置,允许跨域请求并确保安全凭证的正确传递。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一问题描述:

IBM Security AppScan Standard给出系统安全报告:

原因分析:

服务器开启了Https时,cookie的Secure属性应设为true;

解决办法:
1.服务器配置Https SSL方式,参考:https://blog.youkuaiyun.com/u013310119/article/details/80182548
2.修改

response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Methods", "POST, GET");//允许跨域的请求方式
response.setHeader("Access-Control-Max-Age", "3600");//预检请求的间隔时间
response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token,Access-Control-Allow-Headers");//允许跨域请求携带的请求头
response.setHeader("Access-Control-Allow-Credentials","true");//若要返回cookie、携带seesion等信息则将此项设置我true

一个朋友新做的公众号,帮忙宣传一下,会不定时推送一些开发中碰到的问题的解决方法,以及会分享一些开发视频。资料等。请大家关注一下谢谢:

 

19、云计算安全技术与协议详解
z5a6b的博客
07-09 28
本文详细探讨了云计算环境中的关键安全技术和协议,涵盖VPN设置、浏览器安全机制、应用强化策略、跨站脚本(XSS)和跨站请求伪造(CSRF)攻击防护、SQL注入防范,以及SSH、HTTPS和IPSec等安全通信协议的使用。通过这些措施,可以有效提升云计算环境的安全性和数据保护能力。
安全渗透学习小结
wnma3mz的博客
10-17 6390
安全渗透学习小结 本文用以记录学习过的一些安全渗透知识。 Google Hacker 参考文章:google hacker inurl: 用于搜索网页上包含的URL. 这个语法对寻找网页上的搜索,帮助之类的很有用. intext: 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字). site: 可以限制你搜索范围的域名. filetype: 搜索文件的后缀或者扩展名 intitle:...
cookiesecure属性详解
09-03
Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。
IBM AppScan 安全扫描加密会话SSLCookie缺少 Secure 属性 处理办法 ...
weixin_30344795的博客
06-28 876
问题描述: 原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加:...
Appscan漏洞 之 加密会话SSLCookie缺少 Secure 属性
arkqyo2595的博客
07-26 992
  近期Appscan扫描出漏洞加密会话SSLCookie缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理   任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议   给coo...
AppScan扫描漏洞(中等):加密会话SSLCookie缺少Secure属性
weixin_42249908的博客
05-31 2727
AppScan扫描漏洞(中等):加密会话SSLCookie缺少Secure属性
SQL数据库安全测试实战:模拟攻击与防御演练详细指南
![SQL数据库安全测试实战:模拟攻击...我们将首先定义什么是SQL数据库以及它在安全领域中的重要性。接下来,我们将探讨数据泄露的主要途径,包括恶意软件攻击、内部人员滥用权限等,以及它们对业务连续性和品牌信誉造成
腾讯 2016 春招笔试(伪)权威解析
不急不躁
06-04 1万+
这篇文章的原文在:原文地址 1、应用程序开发过程中,下面哪些开发习惯可能导致安全漏洞? 在程序代码中打印日志输出敏感信息方便测试(√) 在使用数组前判断是否越界 在生成随机数前使用当前时间设置随机数种子(√) 设置配置文件权限为rw-rw-rw-(√) 只说一下第三个吧,给出篇文章随机数是骗人的 这篇文章中提到的另一篇文章我也给出链接,省去大家查找的时间当随机不够随机:一个在线扑克游戏...
渗透测试整理笔记
沐夏fyf
09-03 673
tcp/ip七层模型 物理层(网线,光纤(比特流)),数据链据层(mac地址寻址)(帧),网络层(寻址,路由,IP协议)(数据包), 传输层(段)(建立端到端连接,维护传输可靠性),会话层(建立,维护,拆除应用程序间的会话),表示层(数据加迷,压缩), 应用层(为应用程序进程提供网络服务)。 默认端口是什么 weblogic(7001)、jboss(8080)、tomcat(8080) ftp:22/21 SSH:22 telnet:23 https:80 https:443 远程桌面服务端口(3389)
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Appscan漏洞之加密会话SSLCookie缺少Secure属性
学者-微风
05-14 6410
近期 Appscan扫描出漏洞 加密会话SSLCookie缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)
java cookie secure_加密会话SSLCookie缺少 Secure 属性
weixin_33238272的博客
02-23 3395
加密会话(SSL)Cookie缺少 Secure 属性AppScan 发现加密会话(SSL)使用的是没有“secure属性cookie。因为不想修改后端代码,因此希望能从nginx上将其修复。没修复之前没修复之前,这个cookie是没有secure参数的,如上图,上面的那些secure则是我在添加了一个 add_header Set-CookieSecure”; 获得的,虽然网上大部...
加密会话SSLCookie缺少 Secure 属性
热门推荐
隐0士的博客
07-29 2万+
appscan扫出来的漏洞,应用服务器是was8.5 ,web服务器是apache http server,配置了ssl加密传输,这个问题说的是在ssl传输中,系统所用的cookie没有进行设置secure属性。 首先cookie分为两种,一种是用户浏览器请求应用服务器建立的会话所存的会话cookiecookie名称为JSESSIONID,第二种为系统运行时因记录登录信息或其他
AppScan安全扫描加密会话SSLCookie缺少Secure会话 cookie缺少 HttpOnly 属性
爱兰河少
01-30 4421
1、创建拦截器,对请求进行拦截处理Cookie问题 因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值 因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值 package cn.com.zwjp.framework.filte...
IBM AppScan 安全扫描加密会话SSLCookie缺少 Secure 属性处理办法
sunny_happy08的博客
10-12 2498
原因分析: 服务器开启了Https时,cookieSecure属性应设为true; 解决办法: 1.服务器配置Https SSL方式,参考:https://support.microsoft.com/kb/324069/zh-cn 2.修改web.config,添加: <system.web> <httpCookieshttpOnlyCookies="true" re...
【安全问题】加密会话SSLCookie缺少 Secure 属性
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
加密会话SSLCookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话SSLCookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2532
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookie(或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话cookies.
IBM AppScan安全扫描:探索与测试阶段解析
AppScan是一款领先的Web应用安全测试工具,提供全面的安全漏洞检测和修复建议,且是商业安全扫描工具中唯一支持简体中文的。扫描分为探索和测试两个阶段,探索阶段通过模拟用户行为遍历URL路径,创建测试点;测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李晓LOVE向阳

你的鼓励是我持续的不断动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值