Cookie HTTPonly

4

Sono stato incaricato di eseguire la scansione di un laboratorio e Nessus ha restituito una vulnerabilità di "Apache HTTP Server httpOnly Cookie Information Disclosure". Quello che vorrei sapere è che cosa contengono questi cookie e come vengono sfruttati.

    
posta nick 11.07.2015 - 14:23
fonte

1 risposta

4

I cookie potrebbero contenere qualsiasi cosa e la vulnerabilità non riguarda tanto il contenuto che contengono, quanto il fatto che è possibile accedervi. La vulnerabilità di "Apache HTTP Server httpOnly Cookie Information Disclosure" è, in combinazione con un attacco XSS, un modo per accedere ai contenuti dei cookie che trasportano la bandiera httpOnly.

Un esempio

In molte applicazioni Web, quando si accede, l'ID della sessione viene solitamente memorizzato in un cookie nel browser. Finché il cookie è presente, verrà inviato insieme alle tue richieste per l'applicazione web, in modo che l'applicazione web sappia che sei loggato. Tuttavia, se un avversario dovesse rubare quel cookie, potrebbero aggiungere quel cookie a il proprio browser, e l'applicazione web penserebbe che l'avversario sia di fatto te.

Un modo per mitigarlo è impostare il flag HttpOnly sul cookie che contiene l'id della sessione.

OWASP ha una buona spiegazione di cosa sia httpFlag:

HttpOnly is an additional flag included in a Set-Cookie HTTP response header. Using the HttpOnly flag when generating a cookie helps mitigate the risk of client side script accessing the protected cookie (if the browser supports it).

Ciò significa che se il flag HttpOnly è impostato nel cookie, il cookie non può accedere attraverso lo scripting lato client nei browser moderni. Per questo motivo, anche se il sito presenta una vulnerabilità cross-site scripting (XSS) e un avversario sfrutta un utente che utilizza questo difetto, non avrà accesso al cookie.

Ma ..

A causa del "Apache HTTP Server HTTPOnly Cookie Information Disclosure" (noto anche come CVE-2012-0053 ) possiamo farlo per ottenere comunque l'accesso ai cookie HttpOnly! Quale è un importante problema di sicurezza! Per proteggersi da questo, l'aggiornamento di Apache è di grande importanza. CVE-2012-0053 è presente in Apache HTTP Server 2.2.x tramite 2.2.21. (Il più recente è per 11.07.15 versione 2.4.12)

Puoi trovare ulteriori informazioni sulle specifiche di Tenable (creatore di Nessus): link

Description :

The version of Apache HTTP Server running on the remote host has an information disclosure vulnerability. Sending a request with HTTP headers long enough to exceed the server limit causes the web server to respond with an HTTP 400. By default, the offending HTTP header and value are displayed on the 400 error page. When used in conjunction with other attacks (e.g., cross-site scripting), this could result in the compromise of httpOnly cookies.

    
risposta data 11.07.2015 - 15:55
fonte