Cookie ASPSESSIONIDSACSARTD creato senza flag httponly

Naviga le tue risposte
1

Sto imparando proprio ora su diversi strumenti di analisi e mi sono imbattuto in qualcosa in un nikto scan la scorsa notte su un server VM che possiedo. Ha detto qualcosa sulla falsariga di:

Cookie ASPSESSIONIDSACSARTD created without httponly flag.

All'inizio l'ho respinto perché è un server vulnerabile, quindi c'è anche un milione di altre cose da guardare. Ma più ci penso, più mi infastidisce.

Cosa si può fare con i cookie personalizzati? Ho provato a cercare su Google questo, ma è probabilmente il termine di ricerca più ambiguo di sempre. La mia ipotesi è che si potrebbero iniettare comandi nei cookie.

Tutti i moduli metasploit che potrei esaminare oi siti di riferimento sarebbero molto apprezzati.

    
posta Anthony Russell 29.08.2016 - 14:23
fonte

3 risposte

2

Con l'aggiornamento, vedo il problema. L'HTTP segnala solo il browser solo consente al server di impostare questo cookie. Questo impedisce agli script di alterare i dati dei cookie. È abbastanza comunemente segnalato da Nikto.

Per maggiori informazioni vedi l'argomento OWASP

    
risposta data 29.08.2016 - 15:40
fonte
4

Modifica dopo la domanda:

Un cookie con il flag HttpOnly non può essere letto da script sul lato client come Javascript (notare che il client la gestione della risposta HTTP deve supportare il flag HttpOnly).

Una pagina vulnerabile a XSS può rubare le informazioni sulla sessione nei cookie e inviarli a un utente malintenzionato.

Se il flag HttpOnly è impostato, Javascript non può leggere i cookie anche se è presente XSS. Ciò impedisce cose come il dirottamento di sessione.

    
risposta data 29.08.2016 - 14:54
fonte
1

Odio essere quel ragazzo ma odio anche essere il ragazzo che fa perdere tempo alla gente con cose facilmente googlable. Dopo che sono tornato indietro e ho trovato l'output effettivo di NikTo, sono riuscito a trovare facilmente la documentazione OWASP

"HttpOnly - OWASP"

Se il flag HttpOnly (opzionale) è incluso nell'intestazione della risposta HTTP, non è possibile accedere al cookie tramite lo script lato client (di nuovo se il browser supporta questo flag). Di conseguenza, anche se esiste un difetto XSS (cross-site scripting) e un utente accede accidentalmente a un collegamento che sfrutta questo difetto, il browser (principalmente Internet Explorer) non rivelerà il cookie a terzi.

Se un browser non supporta HttpOnly e un sito Web tenta di impostare un cookie HttpOnly, il flag HttpOnly verrà ignorato dal browser, creando così un tradizionale cookie accessibile da script. Di conseguenza, il cookie (in genere il cookie di sessione) diventa vulnerabile al furto di modifiche da parte di script dannoso

    
risposta data 29.08.2016 - 15:38
fonte

Leggi altre domande sui tag

Sono utili più iterazioni di bcrypt? Cosa fa Zerodium con i loro exploit e bug acquisiti? [chiuso]