• CWE-565: Reliance on Cookies without Validation and Integrity Checking

Das Produkt ist auf die Existenz oder die Werte von Cookies bei der Durchführung sicherheitskritischer Operationen angewiesen, stellt aber nicht angemessen sicher, dass diese Einstellungen für den zugehörigen Benutzer gültig sind.

CWE-565: Reliance on Cookies without Validation and Integrity Checking

CWE ID: 565
Name: Reliance on Cookies without Validation and Integrity Checking

Beschreibung

Das Produkt ist auf die Existenz oder die Werte von Cookies bei der Durchführung sicherheitskritischer Operationen angewiesen, stellt aber nicht angemessen sicher, dass diese Einstellungen für den zugehörigen Benutzer gültig sind.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Vermeiden Sie die Verwendung von cookie Daten für eine sicherheitsrelevante Entscheidung.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Führen Sie eine gründliche Input Validation (d.h. serverseitige Validierung) der cookie Daten durch, falls Sie diese für eine sicherheitsrelevante Entscheidung verwenden möchten.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Fügen Sie Integrity Checks hinzu, um Manipulationen zu erkennen.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Schützen Sie kritische Cookies vor Replay Attacks, da Cross-Site Scripting oder andere Angriffe Angreifern möglicherweise ermöglichen, ein stark verschlüsselten Cookie zu stehlen, der auch Integrity Checks besteht. Diese Abschwächung gilt für Cookies, die nur während einer einzelnen Transaktion oder Sitzung gültig sein sollen. Durch die Durchsetzung von Timeouts können Sie den Umfang eines Angriffs begrenzen. Integrieren Sie als Teil Ihrer Integrity Check einen unvorhersehbaren, serverseitigen Wert, der dem Client nicht zugänglich gemacht wird.