Cookie missing security attributes

セキュリティ属性が欠落しているCookie

Risk: hardening

説明

Secure Cookie: HTTPSプロトコルを介した暗号化されたリクエストでのみサーバーに送信されます。Secureフラグが欠落しているCookieは、暗号化されていないチャネルを介して送信される可能性があります。このフラグが存在しても、Cookieは依然としてデータを保存する安全な場所ではないため、機密データの保存を正当化するべきではありません。

HttpOnly Cookie: クロスサイトスクリプティング（XSS）の脆弱性の軽減に役立ちます。HttpOnly Cookieは、document.cookie APIを使用したJavaScriptからはアクセスできません。

```http request Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

#### 推奨事項
不足しているセキュリティ属性をCookieに追加します。フラグの追加は使用するフレームワークに依存し、グローバル設定にすることも、リクエストに手動でフラグを追加することもできます。

PHPで管理されるセッションCookieの場合、フラグは`php.ini`で設定されます。

```http request
session.cookie_secure = True

またはコード内で設定します。

PHP

setcookie ( string $name [, string $value = "" [, int $expires = 0 [, string $path = "" [, string $domain = "" [, bool $secure = FALSE [, bool $httponly = FALSE ]]]]]] ) : bool
setcookie ( string $name [, string $value = "" [, array $options = [] ]] ) : bool

フラグの追加方法の正確な詳細については、フレームワークのドキュメントを確認してください。

リンク

• Secure Flag (OWASP)
• HttpOnly Flag (OWASP)

標準

• OWASP_ASVS_L1:
  • V3_4_2
• OWASP_ASVS_L2:
  • V3_4_2
• OWASP_ASVS_L3:
  • V3_4_2
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_6
  • REQ_3_7
  • REQ_6_2
  • REQ_6_3
  • REQ_6_4
  • REQ_11_3
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213