Предисловие

Непрерывные обновления: систематизируйте уязвимости, обнаруженные в ходе тестирования на проникновение (включая описание уязвимостей, уровень уязвимости, проверку уязвимостей и предложения по устранению). Мы не будем углубляться в различные методы постэксплуатации или обхода уязвимостей. Процесс проверки уязвимостей не ограничивается. статьи Способ в котором может доказать наличие уязвимости.

0x01 Описание уязвимости

- В файле cookie сеанса не установлен атрибут Secure. -

Web В настройках приложения нет Secure свойствоизсессия Куки, что означает Cookie Информация может быть легко перехвачена и перехвачена в процессе передачи, что приведет к утечке информации. отмечен как Secure из Cookie пройдет только HTTPS Зашифрованный протокол запроса отправляется на сервер для проверки сессии, он никогда не будет использоваться без безопасностииз HTTP Отправьте транспорт (кроме локального хоста), а это означает, что злоумышленник «посредник» не сможет легко получить к нему доступ. Кроме того, на сайте «Не Безопасностьиз» (по адресу URL средний с http://）нет в наличии Secure свойствонастраиватьиз Cookie ценить.

уровень уязвимости 0x02

0x03 Проверка уязвимости

Браузер F12 Откройте консоль и просмотрите хранилище файле cookie сеанса не установлен атрибут Secure.。

исправление ошибки 0x04

1. если Web принятие приложения HTTPS Способы передачи и все сопутствующие сессия Cookie в логике все есть HTTPS завершено, рекомендуется установить его в Secure свойство。