Testing for Exposed Session Variables OTG-SESS-004
Nincsenek beallitva a session cookie-k flagjei.
Httponly és secure flag is kell!.
CSFR lehetseges ha nincsenek beállitva-
Meg lehet szerezni a session cookie-kat.
elég ha egy belépett usert ráveszunk hogy lépjen be egy ilyen weboldalra:
Közéállással megszerezhetők a user https- nélkül elküldött cookie-jai. A hiba a dev.niif.hu-n és a hexaa.eduid.hu-n is él.
Minden siboleth-os siteot át kellene nézni A Siboleth is rosszul van konfiguralva.
apache atiranyitasnal ezt ajanljak az owasp oldalan: <VirtualHost :80> ServerAlias * RewriteEngine On RewriteRule ^(.)$ https://%{HTTP_HOST}$1 [redirect=301]
Hibával kapcsolatos pontosabb leiras az owaspban: https://www.owasp.org/index.php/Testing_for_CSRF_%28OTG-SESS-005%29 https://www.owasp.org/index.php/Testing_for_Exposed_Session_Variables_%28OTG-SESS-004%29