2016年04月10日

7. ミドルウェアの設定(Cookie属性)

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
Cookieヘッダにsecure属性を付与できていなかった(=HTTP経由でもCookieヘッダが転送されていた)ため、
また、Cookieヘッダにhttponly属性を付与できていなかった(=JavaScript(document.cookie)から読み取り可能になっていた)ため、
Cookie(認証情報含む)が流出する状態になっていた。

【(想定)被害内容】
Webアプリケーションの認証情報を奪取される ⇒ アカウントを乗っ取られ、Webアプリケーションを不正利用される。

【対策内容】
Cookieヘッダにsecure属性を付与する。
また、Cookieヘッダにhttponly属性を付与する。
なお、SSLアクセラレータの導入有無やTomcatのバージョンなどにより対策方法が異なる。
例えば、Tomcat7(Servlet3.0以降)の場合、web.xmlに
-----
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
-----
を追記する。

【関連する記事】
posted by red at 13:27| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック