apache httponly cookie漏洞怎么发现

apache httponly cookie漏洞怎么发现

建议楼主安装个云锁，能快速检测服务器是否存在漏洞，像网站挂马、黑链、漏洞攻击、暴力破解、CC攻击、XSS之类的攻击防御效果也很好。帮到楼主给分哦。

insightlabs里看到 漏洞原理分析就不多说了，文章里都有 但并未提到漏洞修补方法，正好在这做个补充。 漏洞原理和过程： 1.受害者中了跨站，浏览器发出携带超大cookies的包 2.服务器返回400错误，并会在response包里返回cookies内容 其中也包括httponly的。如图，xss0被设置为httpony依然显示出来 解决方案： 于是可以通过错误处理来屏蔽。 apache官方提供4种错误处理方式 如下 in the event of a problem or error, apachecan be configured to do one of four things, 1.output asimple hardcoded error message输出一个简单生硬的错误代码信息 2.output acustomized message输出一段信息 3.redirect to alocalurl-pathto handle the problem/error转向一个本地的自定义页面 4.redirect to an externalurlto handle theproblem/error转向一个外部url 经测试，对于400错误只有方法2有效，返回包不会再包含cookie内容 apache配置： errordocument400 " security test" 当然，升级apache到最新也可：）。

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息