CWE ID: 1275
Name: Sensitive Cookie with Improper SameSite Attribute
Das Attribut SameSite für sensible Cookies ist nicht gesetzt oder es wird ein unsicherer Wert verwendet.
Das Attribut SameSite steuert, wie Cookies für Cross-Domain-Anfragen versendet werden. Dieses Attribut kann drei Werte annehmen: ‘Lax’, ‘Strict’ oder ‘None’. Wenn der Wert ‘None’ verwendet wird, kann eine Website eine Cross-Domain-POST-HTTP-Anfrage an eine andere Website senden, und der Browser fügt Cookies automatisch dieser Anfrage hinzu. Dies kann zu Cross-Site-Request-Forgery (CSRF)-Angriffen führen, wenn keine zusätzlichen Schutzmaßnahmen implementiert sind (wie beispielsweise Anti-CSRF-Tokens).
Effektivität: High
Beschreibung: Setzen Sie das SameSite-Attribut eines sensiblen Cookies auf ‘Lax’ oder ‘Strict’. Dies weist den Browser an, dieses Cookie ausschließlich für Same-Domain-Anfragen zu verwenden, was eine gute Defense in Depth gegen CSRF-Angriffe bietet. Wenn der Wert ‘Lax’ verwendet wird, werden Cookies auch für top-level Cross-Domain-Navigationen über HTTP GET, HEAD, OPTIONS und TRACE-Methoden versendet, jedoch nicht für andere HTTP-Methoden, die eher zu Seiteneffekten einer State-Mutation führen.
Notizen: Obwohl diese Mitigation wirksam ist, um Cookies vor dem eigenen Scripting-Engine des Browsers zu schützen, können Drittanbieterkomponenten oder Plugins eigene Engines besitzen, die Zugriff auf Cookies ermöglichen. Angreifer könnten auch XMLHTTPRequest verwenden, um die Header direkt auszulesen und so das Cookie zu erhalten.
