Cookie di conformità PCI Scan & Globalscape EFT Web App non contrassegnati sicuri

1

Ho una situazione in cui eseguiamo scansioni di conformità PCI esterne contro il nostro server EFT Globalscape. La scansione sta segnalando:

HTTP (443 / tcp) - Cookie di applicazioni Web non contrassegnati sicuri

Per il nostro fornitore di conformità PCI esterno:

The cookies that need to be addressed are passchangesession and loginsession which are found in the Details section to the left of the Exception Request tab. For each, we need the following information: The name of the cookie detected A description of what the detected cookie's purpose is (e.g., load balancing, third-party tracking) If the cookies are session cookies, then the secure flag needs to be set and a rescan done to demonstrate this change.

Cookie in questione:

Name : passchangesession 

Name : loginsession 

Ho confermato che sono cookie di sessione. Ma Globalscape non ha fornito una soluzione su come impostare il flag di sicurezza. Tutto il traffico EFT è limitato anche a TLS 1.2 HTTPS e neghiamo HTTP. Ma questo non è un controllo compensativo accettabile o una ricerca non valida per venditore.

La risposta Globalscapes era:

EFT Server does secure its session cookies when accessed over HTTPS (HTTP over SSL). What the scanner is picking up is a special case where the server is being accessed over plain-text HTTP, and EFT Server is redirecting the session temporarily over to HTTPS (to secure the login sequence), and subsequently (post login), back to HTTP. In the case of plain-text HTTP sessions, the secure flag should not be set for cookies. Please refer to the recommendations section below for more information.

Qualcun altro è stato in grado di mitigare questo e / o ottenere l'approvazione di un'eccezione?

    
posta Lee 07.09.2018 - 16:16
fonte

1 risposta

2

Non utilizzare il flag di sicurezza sui cookie è un problema di sicurezza fondamentale, indipendentemente dal fatto che il sito sia effettivamente disponibile su HTTP o meno. Un attaccante di rete man-in-the-middle (MITM) può facilmente rubarli se non sono contrassegnati. Sicuro:

  1. L'attaccante trova un utente che ha effettuato l'accesso al sito di destinazione.
  2. L'attaccante attende che l'utente navighi letteralmente in qualsiasi sito su HTTP non protetto (non è necessario che sia correlato al sito di destinazione in alcun modo).
  3. L'attaccante inietta un elemento semplice, invisibile nella risposta HTTP che attiverà una richiesta HTTP (ad esempio, <script src="http://targetsite.com/"></script>,ancheselapaginaradicenonèpresumibilmenteunoscript).
  4. Ilbrowserdell'utentetenteràdiconnettersialsitodidestinazionesuHTTP,chel'autoredell'attaccopuòcompletarepercontodelserver(ilservernonvedemailarichiesta,quindinonimportachenonrispondaallerichiesteHTTP).
  5. Ilbrowserdell'utenteinvieràlarichiesta,inclusituttiicookienonprotettidasicurezzaperilsitovulnerabile;l'attaccantepuòfacilmenteraccoglierle.

Peribrowsermoderni,questoattaccopotrebbeesserevanificatoutilizzandoHTTPStrictTransportSecurity(HSTS)opossibilmenteilnuovoflagSameSitesuicookie,maunserverchenonstautilizzandoSecuresuisuoicookiedisessioneprobabilmentenonstausandonessunodeianchequestealtremisuredisicurezzae,inognicaso,nonproteggerebberogliutenticonivecchibrowser.

HocontrollatolaknowledgebasediGlobalscapeenonhovistoalcunmodoperrichiedereilflagSecuresuicookieuniversalmente.Loscenariodescritto,incuil'utentevienereindirizzatodaHTTPaHTTPSperaccedereequinditornareaHTTPNONsicuroenondovrebbemaiessereconsentito(Firesheep,unasempliceestensioneperFirefoxcheautomatizzagliattacchicontrotalisiti,èstatorilasciatoquasi8annifa!)

SeGlobalscapecontinuaaconsentirequestocomportamento,dovrebbeessereconsideratounseriobugdisicurezzanelprodottoeilfornitorediconformitàèassolutamentecorrettochenonsiaadattoall'usoconleinformazionidellacartadipagamento.D'altraparte,affermicheilserverEFTèaccessibilesolotramiteHTTPS,nelqualcaso(secondolarichiestadellasocietà)loscannernondovrebbeessereingradodiattivareil"caso speciale" in cui i cookie vengono inviati in modo non preciso.

Senza ulteriori informazioni (il server EFT imposta il flag di sicurezza se vi si accede tramite HTTPS? In caso affermativo, perché lo scanner è riuscito a ottenere cookie non sicuri, dato che si dice che il server non è disponibile su HTTP? non è una soluzione a breve termine), non posso davvero dirvi cosa sarà necessario per risolvere il problema a breve termine. A lungo termine, è necessario convincere Globalscape a portare la propria sicurezza web in questo decennio, isolarlo da un front-end scritto pensando alla sicurezza o cambiare i fornitori.

    
risposta data 07.09.2018 - 23:48
fonte

Leggi altre domande sui tag