Loosely Scoped Cookie

Was bedeutet Loosely Scoped Cookie?

Das Domain-Attribut eines Cookies legt fest, welche Domains auf das Cookie zugreifen können. Browser senden das Cookie automatisch in Anfragen an In-Scope-Domains. Diese Domains können auch über JavaScript auf das Cookie zugreifen. Wenn ein Cookie für eine übergeordnete Domain festgelegt ist, ist das Cookie sowohl für die übergeordnete Domain als auch für alle anderen Sub-Domains der übergeordneten Domain verfügbar.

Ist ein Cookie zu locker eingestellt (Loosely Scoped Cookie), so steigt die Anfälligkeit der Anwendung für Angriffe anderer Anwendungen auf demselben Server. Wenn das Cookie sensible Daten enthält (z.B. ein Sitzungstoken), sind diese Daten möglicherweise weniger vertrauenswürdige oder weniger sichere Anwendungen, die sich in diesen Domains befinden, zugänglich, was zu einer Sicherheitsverletzung führt.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Mögliche Lösung

Cookies sind standardmäßig auf die ausstellende Domain und in IE/Edge auf Sub-Domains beschränkt. Wenn das explizite Domain-Attribut aus der Set-Cookie-Direktive entfernt wird, hat das Cookie diesen Standardbereich, der in den meisten Situationen sicher und angemessen ist.

Wenn insbesondere ein Cookie benötigt wird, auf das eine übergeordnete Domain zugreifen kann, sollte die Sicherheit der auf dieser Domain befindlichen Anwendungen und deren Sub-Domains sorgfältig überprüft und bestätigt werden, dass den Personen und Systemen vertraut wird, die diese Anwendungen unterstützen.

Datenbanklink zur Schwachstelle

https://portswigger.net/kb/issues/00500300_cookie-scoped-to-parent-domain


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte