Конфиденциальный файл cookie в сеансе HTTPS без атрибута «Secure» в репозитории GitHub ikus060/rdiffweb до версии 2.4.2.
Конфиденциальный файл cookie в сеансе HTTPS без атрибута «Secure» в репозитории GitHub ikus060/rdiffweb до версии 2.4.2.
Атрибут Secure для конфиденциальных cookie-файлов в HTTPS-сессиях не установлен.
https://cwe.mitre.org/data/definitions/614.html →Открыть в коллекции CWE →Перехват сессии использует незашифрованный канал связи между жертвой и целевой системой. Злоумышленник прослушивает трафик в сети в поисках токенов сессии в незашифрованном трафике. После захвата токена сессии злоумышленник выполняет вредоносные действия, используя похищенный токен в целевом приложении для имперсонации жертвы. Данная атака является разновидностью угона сессии — эксплуатации действующего токена сессии для получения несанкционированного доступа к целевой системе или информации. Другие методы угона сессии включают фиксацию сессии, межсайтовый скриптинг или компрометацию машины пользователя или сервера с последующей кражей токена сессии.
https://capec.mitre.org/data/definitions/102.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| rdiffweb | Отслеживается | |
| rdiffweb | * | Отслеживается |