Cookie 缺失secure漏洞修复

0x00 漏洞背景

       Cookie Secure，是设置COOKIE时，可以设置的一个属性，设置了这个属性后，只有在https访问时，浏览器才会发送该COOKIE。

       浏览器默认只要使用http请求一个站点，就会发送明文cookie，如果网络中有监控，可能被截获。

       如果web应用网站全站是https的，可以设置cookie加上Secure属性，这样浏览器就只会在https访问时，发送cookie。

     攻击者即使窃听网络，也无法获取用户明文cookie。

0x01 修复思路

设置cookie时，加入属性httponly，但需要注意几点问题：

1、在cookie类中没有找到设置httponly的方法，目前的jdk版本只支持在setHeader时，设置httponly。

2、httponly已经可以防止用户cookie被窃取，只能增加攻击者的难度，不能达到完全防御XSS攻击。

0x02 代码修复

在设置认证COOKIE时，加入Secure。参考代码：

response.setHeader("SET-COOKIE", "user=" + request.getParameter("cookie") + "; HttpOnly ; Secure ");

服务器配置为HTTPS SSL方式

Servlet 3.0 (Java EE 6)的web.xml 进行如下配置：

  true

ASP.NET的Web.config中进行如下配置：

php.ini中进行如下配置

session.cookie_secure = True

weblogic中进行如下配置：

     true

      true