永久Cookie使用Appscan安全工具包含敏感的会话信息Laravel

时间:2018-08-16 06:21:54

标签: laravel security bluemix-app-scan

我已经使用AppScan工具扫描了Laravel项目,但遇到了安全问题 AppScan安全文档中的永久Cookie包含敏感会话信息

enter image description here 这是标题的“我的网络”信息:

Cache-Control: no-cache, private
Connection: keep-alive
Content-Encoding: gzip
Content-Length: 3692
Content-Type: text/html; charset=UTF-8
Date: Thu, 16 Aug 2018 06:01:02 GMT
Expires: 0
Pragma: no-cache
Server: Apache
Set-Cookie: XSRF-TOKEN=eyJpdiI6Ik9XVzJyOXRSZ0JkRnhaTXdkZlQzeVE9PSIsInZhbHVlIjoibUxEKzBLUHdCM2VwWVc4MzhPNjR3TmpcL2VZdWJXRjJmeVZklSaGtnb2RRblVBblpXNEVDS1wvMXExKzQwaE9NWlQwVFRpUTZiTHB3b1ZRMlcwZz09IiwibWFjIjoiNzhmMDg4MjUzN2YzMDA3MDg3MTJiOGNkMTQ4MTZlNWIyZWZiZTkxYjgwNzI1NzVmMzBmNWQyYjE1ZThjZDc3MiJ9; expires=Thu, 16-Aug-2018 08:01:02 GMT; Max-Age=7200; path=/; secure;HttpOnly;HttpOnly;Secure
Set-Cookie: laravel_session=eyJpdiI6InJpK3FNeHhTMGFEUUgxSGxKUkc1Rmc9PSIsInZhbHVlIjoieVRGaGpMcnJ3bnBrWCtOTzZcL2dzVFRKNDl5U29jUTlvb0tSZE54d2YxbTFvSHZ3TW5jc2FXcFwvcjhLaXlFN2R5eEo0Tlpoa1FxY0VUWlJ5bUjIjoiYTY2MjkwODU3YWQyMTFmZTJkNmZlMWUzMTgyYzk2NjA2OTBiMDgyODMzM2ZlZjg4NDE4MDBjZDFkYmIyNmEyMCJ9; expires=Thu, 16-Aug-2018 08:01:02 GMT; Max-Age=7200; path=/; secure; httponly;HttpOnly;HttpOnly;Secure
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Vary: Accept-Encoding
X-Content-Security-Policy: allow 'self';
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block

也当我停止/从服务器端删除cookie时。我将阻止csrf令牌。 我该如何解决此安全问题。

请帮助!! 在此先感谢

1 个答案:

答案 0 :(得分:0)

我认为这是AppScan应用程序中的错误。该消息已经正确,会话信息存储在cookie中。这用于在每次请求时都传递此令牌,然后再发送回新的CSRF令牌。 由于Cookie的最大年龄= 7200,因此, Cookie的寿命只有2小时。因此,AppScan关于cookie永久存在的说法是错误的。

请记住,对于每个请求,都会为您分配一个新的CSRF令牌,攻击者将不得不操纵您本地发送的请求才能使用此方法。

相关问题
最新问题