Cookie set without HttpOnly Flag

Was bedeutet Cookie set without HttpOnly Flag?

Ein Cookie wird verwendet, um vertrauliche Informationen zu speichern, jedoch ist das Cookie nicht mit der HttpOnly Flag gekennzeichnet.

Cookies können durch Domain oder Pfad begrenzt werden. Dieser Test befasst sich nur mit der Domain-Bereich. Der Domain-Bereich, der auf ein Cookie angewendet wird, bestimmt, welche Domain Zugriff hat. Zum Beispiel kann ein Cookie streng auf eine Subdomain, z.B. nottrusted.com, oder lose auf eine übergeordnete Domain, z.B. nottrusted.com, beschränkt sein. Im letzteren Fall hat jede Subdomain von nottrusted.com Zugriff auf das Cookie. Cookies mit einer losen Beschränkung sind in Mega-Anwendungen, wie google.com und live.com üblich.

Beschreibung

Das HttpOnly Flag weist kompatible Browser an, zu verhindern, dass clientseitige Skripts auf Cookies zugreifen. Durch das Einfügen der HttpOnly Flag in den Set-Cookie-HTTP-Antwortheader wird das Risiko verringert, das mit Cross Site Scripting (XSS) verbunden ist, wobei der Skript-Code eines Angreifers versuchen kann, den Inhalt eines Cookies zu lesen und die erhaltenen Informationen zu filtern. Wenn festgelegt, geben Browser, die diese Flag unterstützen, den Inhalt des Cookies nicht über ein über XSS ausgeführtes clientseitiges Skript an Dritte weiter.

Durch diese Maßnahme können bestimmte clientseitige Angriffe, z.B. Cross Site Scripting, etwas schwieriger ausgenutzt werden, indem verhindert wird, dass sie den Wert des Cookies über ein Injected Script auf einfache Weise erfassen können.

Bei nicht gesetzter HttpOnly Flag können vertrauliche Informationen, die im Cookie gespeichert sind, unautorisierten Personen ausgesetzt sein. Wenn es sich bei dem fraglichen Cookie um ein Authentifizierungs-Cookie handelt, kann das Nicht-Setzen der HttpOnly Flag einem Angreifer möglicherweise erlauben, Authentifizierungsdaten (z.B. eine Sitzungs-ID) zu stehlen und die Identität des Benutzers anzunehmen.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Nutzen Sie die HttpOnly Flag, wenn Sie in einer Antwort ein heikles Cookie setzen.

Es gibt normalerweise keinen triftigen Grund, die HttpOnly Flag nicht für alle Cookies zu setzen. Wenn Sie nicht ausdrücklich legitime clientseitige Skripts in Ihrer Anwendung zum Lesen oder Setzen eines Cookie-Werts benötigen, sollten Sie die HttpOnly Flag setzen, indem Sie dieses Attribut in die entsprechende Set-Cookie-Direktive aufnehmen.

Sie sollten sich dessen bewusst sein, dass die durch die HttpOnly Flag auferlegten Einschränkungen möglicherweise unter bestimmten Umständen umgangen werden können und dass neben dem einfachen Cookie-Diebstahl auch zahlreiche andere schwere Angriffe durch clientseitige Script Injection ausgeführt werden können.

Hinweis: Diese Einschränkung ist zwar für den Schutz von Cookies vor den Scripting-Mechanismen eines Browsers wirksam, jedoch können Komponenten oder Plugins von Drittanbietern eigene Mechanismen haben, die den Zugriff auf Cookies ermöglichen. Angreifer können möglicherweise auch XMLHTTPResponse verwenden, um die Header direkt zu lesen und das Cookie zu erhalten.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/1004.html

https://portswigger.net/kb/issues/00500600


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte