プロジェクト

全般

プロフィール

指摘事項 #166

[脆弱性診断]Cookie へのセキュリティ属性の未設定

匿名ユーザー が4年以上前に追加. 4年以上前に更新.

ステータス:
終了
優先度:
通常
担当者:
-
開始日:
2021/03/04
期日:
進捗率:

100%

予定工数:
1.00時間
機能名:
全般
原因区分:
脆弱性診断
要マニュアル反映:
はい
対応後確認_指摘事項 #166 [脆弱性診断]Cookie へのセキュリティ属性の未設定.xlsx (629 KB) 対応後確認_指摘事項 #166 [脆弱性診断]Cookie へのセキュリティ属性の未設定.xlsx 匿名ユーザー, 2021/03/08 10:16

指摘事項

危険度

解説 

HttpOnly 属性およびSecure 属性が設定されていないCookie 変数が検出されました。HttpOnly 属性が設定されている場合、JavaScript によるCookie 操作が禁止されます。これにより、第三者によって悪意のあるJavaScript が挿入された場合にもCookie 値の改ざんや漏えいを防ぐことが可能です。Secure 属性が設定されている場合、非暗号化通信(http://~)ではCookie 値が送信されず暗号化通信(https://~)でのみCookie 値が送信されるため、通信を盗聴する第三者へのCookie 値の漏えいを防ぐことが可能です。

検出箇所 

・HttpOnly 属性
         ホスト
         c.ecomic-app.com
         Cookie 変数
         XSRF-TOKEN
・Secure 属性
         ホスト
         c.ecomic-app.com
         Cookie 変数
         XSRF-TOKEN
         ec_club_session

回答・対応内容

Apacheのhttpd.confに下記を設定する。
---
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
---

→対応後の確認結果を添付

---------------
対応確認いたしました。

履歴

#1 匿名ユーザー が4年以上前に更新

  • 指摘事項 を更新 (diff)

#2 匿名ユーザー が4年以上前に更新

  • 指摘事項 を更新 (diff)

#3 匿名ユーザー が4年以上前に更新

  • 指摘事項 を更新 (diff)

#4 匿名ユーザー が4年以上前に更新

  • 予定工数1.00時間 にセット

#5 菊池 威之4年以上前に更新

  • ステータス新規 から 対応中 に変更

#6 匿名ユーザー が4年以上前に更新

  • 担当者匿名ユーザー から 拓圭 深田 に変更
  • 要マニュアル反映いいえ から はい に変更
  • 進捗率0 から 100 に変更
  • ステータス対応中 から 対応済 に変更

#7 匿名ユーザー が4年以上前に更新

  • 回答・対応内容 を更新 (diff)
  • ファイル 対応後確認_指摘事項 #166 [脆弱性診断]Cookie へのセキュリティ属性の未設定.xlsx を追加

#8 匿名ユーザー が4年以上前に更新

  • ファイル を削除 (対応後確認_指摘事項 #166 [脆弱性診断]Cookie へのセキュリティ属性の未設定.xlsx)
  • ファイル 対応後確認_指摘事項 #166 [脆弱性診断]Cookie へのセキュリティ属性の未設定.xlsx を追加

#9 匿名ユーザー が4年以上前に更新

#10 拓圭 深田4年以上前に更新

  • 回答・対応内容 を更新 (diff)
  • 担当者拓圭 深田 から 菊池 威之 に変更
  • ステータス対応済 から 承認済 に変更

#11 菊池 威之4年以上前に更新

  • 担当者菊池 威之 から 匿名ユーザー に変更

#12 菊池 威之4年以上前に更新

  • ステータス承認済 から 終了 に変更

再診断結果OKにてクローズします。

他の形式にエクスポート: Atom PDF