• CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag

Das Produkt verwendet einen Cookie zur Speicherung sensibler Informationen, welcher jedoch nicht mit dem HttpOnly Flag versehen ist. Dies stellt ein potentielles Risiko dar, da Cross-Site Scripting (XSS) Angriffe die Möglichkeit hätten, auf diese Daten zuzugreifen. Eine Implementierung des HttpOnly Flags ist daher dringend empfohlen.

CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag

CWE ID: 1004
Name: Sensitive Cookie Without ‘HttpOnly’ Flag

Beschreibung

Das Produkt verwendet einen Cookie zur Speicherung sensibler Informationen, welcher jedoch nicht mit dem HttpOnly Flag versehen ist. Dies stellt ein potentielles Risiko dar, da Cross-Site Scripting (XSS) Angriffe die Möglichkeit hätten, auf diese Daten zuzugreifen. Eine Implementierung des HttpOnly Flags ist daher dringend empfohlen.

Erweiterte Beschreibung

Das HttpOnly Flag weist kompatible Browser an, clientseitige Skripte vom Zugriff auf Cookies auszuschließen. Die Aufnahme des HttpOnly Flags im Set-Cookie HTTP Response Header trägt dazu bei, das Risiko im Zusammenhang mit Cross-Site Scripting (XSS) zu mindern, bei dem Schadcode eines Angreifers versuchen könnte, den Inhalt eines Cookies auszulesen und Informationen zu exfiltrieren. Bei Aktivierung verhindern Browser, die das Flag unterstützen, dass der Inhalt des Cookies über clientseitige Skripte, die über XSS ausgeführt werden, an Dritte weitergegeben wird.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: High
Beschreibung: Nutzen Sie das HttpOnly Flag beim Setzen eines sensiblen Cookies in einer Response. Notizen: Obwohl diese Mitigation Cookies vor dem eigenen Scripting-Engine des Browsers schützt, können Drittanbieter-Komponenten oder -Plugins eigene Engines besitzen, die Zugriff auf Cookies ermöglichen. Angreifer könnten auch XMLHTTPResponse verwenden, um die Header direkt auszulesen und so das Cookie zu erhalten.

Detaillierter Hintergrund

Ein HTTP-Cookie ist ein kleines Datenstück, das einer bestimmten Website zugeordnet und vom Webbrowser des Nutzers auf dessen Computer gespeichert wird. Diese Daten können für verschiedene Zwecke verwendet werden, darunter das Speichern von in Formularfeldern eingegebenen Informationen, das Aufzeichnen von Nutzeraktivitäten und für Authentifizierungszwecke. Cookies, die zum Speichern oder Aufzeichnen von nutzergenerierten Informationen verwendet werden, werden von eingebettetem Script-Code auf einer Webseite abgerufen und modifiziert. Authentifizierungs-Cookies hingegen werden vom Server der Website erstellt und an den Nutzer gesendet, um sie zukünftigen Anfragen beizufügen. Diese Authentifizierungs-Cookies sind in der Regel nicht dafür gedacht, von der an den Nutzer gesendeten Webseite abgerufen zu werden, sondern sollen lediglich zukünftigen Anfragen beigefügt werden, um Authentifizierungsdetails zu verifizieren.