Loosely Scoped Cookie

Was bedeutet Loosely Scoped Cookie?

Das Domain-Attribut eines Cookies legt fest, welche Domains auf das Cookie zugreifen können. Browser senden das Cookie automatisch in Anfragen an In-Scope-Domains. Diese Domains können auch ĂŒber JavaScript auf das Cookie zugreifen. Wenn ein Cookie fĂŒr eine ĂŒbergeordnete Domain festgelegt ist, ist das Cookie sowohl fĂŒr die ĂŒbergeordnete Domain als auch fĂŒr alle anderen Sub-Domains der ĂŒbergeordneten Domain verfĂŒgbar.

Ist ein Cookie zu locker eingestellt (Loosely Scoped Cookie), so steigt die AnfĂ€lligkeit der Anwendung fĂŒr Angriffe anderer Anwendungen auf demselben Server. Wenn das Cookie sensible Daten enthĂ€lt (z.B. ein Sitzungstoken), sind diese Daten möglicherweise weniger vertrauenswĂŒrdige oder weniger sichere Anwendungen, die sich in diesen Domains befinden, zugĂ€nglich, was zu einer Sicherheitsverletzung fĂŒhrt.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Mögliche Lösung

Cookies sind standardmĂ€ĂŸig auf die ausstellende Domain und in IE/Edge auf Sub-Domains beschrĂ€nkt. Wenn das explizite Domain-Attribut aus der Set-Cookie-Direktive entfernt wird, hat das Cookie diesen Standardbereich, der in den meisten Situationen sicher und angemessen ist.

Wenn insbesondere ein Cookie benötigt wird, auf das eine ĂŒbergeordnete Domain zugreifen kann, sollte die Sicherheit der auf dieser Domain befindlichen Anwendungen und deren Sub-Domains sorgfĂ€ltig ĂŒberprĂŒft und bestĂ€tigt werden, dass den Personen und Systemen vertraut wird, die diese Anwendungen unterstĂŒtzen.

Datenbanklink zur Schwachstelle

https://portswigger.net/kb/issues/00500300_cookie-scoped-to-parent-domain


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte