最近准备上线一个网站,按照要求进行了绿盟的漏洞扫描,其中“WEB应用扫描”发现了两个问题,可以算作一个类型,一起解决。
环境:龙蜥8Linux,宝塔集成环境(Apache+PHP)
解决方法:
- PHP配置文件php.ini
查找 session.cookie_httponly = 后边写1或者true
查找 session.cookie_secure = 后边写1或者true
根据其他配置,建议写1,如果有备注符号,记得删除。
但是修改了以上的配置,WEB应用扫描还是有这两个漏洞,感觉是因为它是直接对文件内容进行的扫描,是不是直接获取了语句,所以接下来去程序里修改 。 - PHP文件
根据漏洞风险信息提示找到对应的PHP文件(不知道为什么最后生成的报表里没有详细的信息,所以在扫描的时候拍了照片)。
在文件内搜索setcookie,查看函数参数。
setcookie(cookie名称, cookie值, 过期时间, 有效路径, 有效域名, secure, httponly)
php5.2以上版本支持HttpOnly参数的设置。
除了第一个参数必填,其他都选填,不需要的填 null 就行。
有效路径:当设置 ‘/’ 时有效路径为根目录,所有根目录和子目录都可以访问;不设置时仅在本目录及子目录生效,上级目录的文件获取不到。
secure:只有通过https访问时,这条语句才有用。
httponly:只能通过http协议访问,通过JS等无法读取到cookie,防止XSS攻击。
setcookie("name", "value", null,null,null,1,1);//设置secure和httponlysetcookie("name", "value", time()+3600,null,null,1,1);//保存一小时setcookie("name", "value", time()+3600,'/',null,1,1);//路径根目录setcookie("name", "value", ['httponly' => true]);//设置httponlysetcookie("name", "value", ['httponly' => true, 'secure' => true]);//设置secure和httponly添加了setcookie的第6/7个参数后,这两个漏洞不见了。
建议所有的setcookie语句都加上。
来源地址:https://blog.csdn.net/u010457180/article/details/130285508
