我们的一位大众在我们的网站上进行了渗透测试,并返回了以下结果 -
此系统正在运行一个Web应用程序,该应用程序不会为通过安全(HTTPS)连接建立的会话cookie设置“安全”属性。随后通过非安全(HTTP)连接请求相同站点的浏览器可以以明文形式发送cookie。攻击者可以利用它来获取cookie并劫持用户的会话。以下会话cookie没有设置'secure'标志:
CFID = 17608316; Expires = Sun,12-Jun-2044 12:18:51 GMT
路径= /;仅Http
CFTOKEN = 6fc794c5f25867bb-3C16794D ... AA8
Expires = Sun,12-Jun-2044 12:18:51 GMT;
路径= /;仅Http
JSESSIONID = 083059434 ... 8b1e235
路径= /;仅Http
现在,我对此一无所知,所以我用谷歌搜索了一下,我找到了这个链接 - http://www.petefreitag.com/item/764.cfm。
我发现我们已经在jvm.config中设置了-Dcoldfusion.sessioncookie.httponly=true值。
我能做些什么来确保我的扫描不会失败。