IIS 6.0에서 Classic ASP 사이트를 실행하는 클라이언트가 있습니다. 이 웹 사이트는 ASP.NET 구성 탭에서 ASP.NET 2.0을 대상으로합니다. 그의 사이트의 최근 PCI 스캔은 ASPSESSIONID 쿠키에 대한 HttpOnly 취약점으로 인해 실패했습니다.ASP 1.1에서 HttpOnly = true로 설정 세션 ID 쿠키
수동으로 생성 된 모든 쿠키에 HttpOnly를 성공적으로 설정하는 ISAPI .dll을 설치했지만 ASPSESSIONID 쿠키가 어떤 이유로 인해 영향을받지 않습니다.
나는 다음과 같은 구성의 Web.config 설정 :
는<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
이 구성은 아무것도에 아무런 영향이없는 것으로 보인다. 나는 웹 사이트가 ASP.NET 2.0을 타겟으로하고 있지만, Classic ASP 응용 프로그램으로 작동하고 HttpOnly은 전혀 지원되지 않는다고 생각합니다.
고객의 웹 사이트는 global.asax
대신 global.asa
을 사용합니다. 이것은 Application_EndRequest를 사용하여 HttpOnly를 추가하는 것을 배제합니다.
Firefox/Firebug를 사용하여 클라이언트의 사이트를로드하고 쿠키를 볼 수 있습니다. 수동으로 생성 된 쿠키는 HttpOnly로 설정되지만 ASPSESSIONID 쿠키는 HttpOnly가 아닙니다.
누구나이 설치 시나리오에서 ASPSESSIONID 쿠키가 HttpOnly이게하는 방법을 알고 있습니까?
쿠키를 다시 쓰려면 ISAPI 필터를 설치했습니다. 수동으로 생성 된 쿠키에 HttpOnly를 성공적으로 추가하지만 ASPSESSIONID 쿠키에는 영향을 미치지 않습니다. 당신이 준 2 개의 링크는 훌륭하지만, 단지 ASPSESSIONID 쿠키에 HttpOnly를 설정하는 솔루션을 제공하지 마십시오. – rwkiii
@rwkiii 어떤 ISAPI 필터를 설치 했습니까? –
두 번째 링크에있는 페이지 중 절반 정도가 "좋은 소식 : 교차 사이트 스크립팅 문제 완화"입니다. – rwkiii