Riconoscimento mancante degli attributi protetti in crittografia sessione (SSL)

Naviga le tue risposte
1

Ho testato un'applicazione web con uno strumento commerciale (IBM AppScan) per il test di penetrazione. Ho trovato un bug correlato a un attributo di sicurezza mancante in cookie di sessione crittografato (SSL).

L'applicazione web è scritta in .Net, quindi ho aggiunto questo contenuto alla configurazione web: 

<httpCookies requireSSL="true" />

Successivamente ho controllato l'applicazione nel browser con il componente aggiuntivo "Advanced Cookie Manager" in Firefox.

Risultati di Advanced Cookie Manager: alcuni attributi I valori IsSecure sono veri, alcuni sono falsi.

Voglio verificare se questo è un falso positivo - in quale altro modo posso ricontrollare l'attributo sicuro.

    
posta dgn 31.12.2013 - 13:07
fonte

2 risposte

2

I cookie possono essere impostati più volte e ciò può causare attributi di cookie non sicuri ( Secure e HTTPOnly ) e condizioni di gara. Gli strumenti possono produrre falsi positivi, ciò che conta davvero è se il browser utilizza correttamente il flag. Per visualizzare gli attributi di sicurezza del cookie all'interno della console degli sviluppatori del browser (ctrl + shft + j).

Se il cookie viene impostato più volte, la difficoltà è trovare il gestore di richieste configurato in modo errato. Ecco il processo per rintracciare il colpevole:

  1. Apri una nuova finestra privata in firefox o chrome.
  2. Apri la console per sviluppatori (ctrl + maiusc + j)
  3. Carica la pagina che è responsabile per l'impostazione del cookie sicuro.
  4. Guarda ogni richiesta HTTP che contiene un elemento di intestazione HTTP set-cookie . trova uno che non ha il flag Secure .
risposta data 31.12.2013 - 18:31
fonte
0

Usa uno sniffer come HTTP Analyzer, quindi accedi al tuo sito web. Otterrai tutto ciò che viene e viene dal tuo browser.

    
risposta data 01.01.2014 - 09:59
fonte

Leggi altre domande sui tag

Domanda: come pianificare la politica di email per le start-up? È legale pubblicare la password e l'email di viticim?