暗号化されたセッション(SSL)のCookie再チェックでセキュア属性が欠落している
侵入テスト用の商用ツール(IBM AppScan)でWebアプリケーションをテストしました。暗号化されたセッション(SSL)Cookieに欠落しているセキュア属性に関連するバグを発見しました。
Webアプリケーションは.Netで記述されているため、このコンテンツをWeb構成に追加しました。
<httpCookies requireSSL="true" />
その後、Firefoxの「Advanced Cookie Manager」アドオンを使用して、ブラウザーでアプリケーションを確認しました。
Advanced Cookie Managerの結果:IsSecureの値には、trueとfalseの属性があります。
これが誤検知であるかどうかを確認したいのですが、他にどのようにして安全な属性を再確認できますか?.
Cookieは複数回設定できるため、安全でないCookie属性(SecureおよびHTTPOnly)と競合状態が発生する可能性があります。ツールが誤検知を生成する可能性がありますが、実際に重要なのは、ブラウザーがフラグを適切に使用している場合です。ブラウザーの開発者コンソール(Ctrl + Shft + J)内でCookieのセキュリティ属性を表示します。
Cookieが複数回設定されている場合、問題は、正しく構成されていない要求ハンドラを見つけることです。犯人を追跡するプロセスは次のとおりです。
- FirefoxまたはChromeで新しいプライベートウィンドウを開きます。
- 開発者コンソールを開きます(Ctrl + Shift + J)
- セキュアCookieの設定を担当するページをロードします。
set-cookieHTTPヘッダー要素を含むすべてのHTTPリクエストを確認します。Secureフラグがないものを見つけます。
HTTPアナライザーなどのスニファーを使用してから、Webサイトにアクセスします。あなたはあなたのブラウザから出入りしたすべてを取得します。