HTTPS会话Cookie'安全'属性未设置

时间:2014-07-15 09:07:00

标签: security session coldfusion-9

我们的一位大众在我们的网站上进行了渗透测试,并返回了以下结果 -

此系统正在运行一个Web应用程序,该应用程序不会为通过安全(HTTPS)连接建立的会话cookie设置“安全”属性。随后通过非安全(HTTP)连接请求相同站点的浏览器可以以明文形式发送cookie。攻击者可以利用它来获取cookie并劫持用户的会话。以下会话cookie没有设置'secure'标志:

CFID = 17608316; Expires = Sun,12-Jun-2044 12:18:51 GMT

路径= /;仅Http

CFTOKEN = 6fc794c5f25867bb-3C16794D ... AA8

Expires = Sun,12-Jun-2044 12:18:51 GMT;

路径= /;仅Http

JSESSIONID = 083059434 ... 8b1e235

路径= /;仅Http

现在,我对此一无所知,所以我用谷歌搜索了一下,我找到了这个链接 - http://www.petefreitag.com/item/764.cfm

我发现我们已经在jvm.config中设置了-Dcoldfusion.sessioncookie.httponly=true值。

我能做些什么来确保我的扫描不会失败。

0 个答案:

没有答案