Faille Web: Session Cookie Without Secure Flag ???

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

Faille Web: Session Cookie Without Secure Flag ???

Messagepar garenfletch » 02 Février 2015, 14:08

Bonjour à tous.

J'ai un site en ligne créer en ASP.NET et mis en ligne depuis seulement une semaine, j'ai décidé de le scanner avec le scanner web "VEGA" que j'espère que vous connaisez bien.

A présent après l'analyse de "VEGA", je vois comme résultat que mon site web est vulnérable dont voici ci-dessous le résultat:

AT A GLANCE
Classification: Information

Resource: /
Risk: High

REQUEST
GET /

RESOURCE CONTENT
ASP.NET_SessionId=jopmno265t1l1s55feobcq95; path=/; HttpOnly

DISCUSSION
Vega has detected that a known session cookie may have been set without the secure flag.

IMPACT
Cookies can be exposed to network eavesdroppers.
Session cookies are authentication credentials; attackers who obtain them can get unauthorized access to affected web applications.


En voyant ces résultat, j'aimerais savoir:
1 - si un hacker peut utiliser cette faille surtout les cookies ASP.NET_SessionId=jopmno265t1l1s55feobcq95; path=/; HttpOnly découvert pour accéder sans autorisation au compte des utilisateurs de ce site ???

2 - Qu'est-ce qu'une vulnérabilité Session Cookie Without Secure Flag s'il vous plaît ???

3 - Comment y remédier (corriger cette faille) selon vous ???

Merci de me renseigner à mieux comprendre.
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20

Re: Faille Web: Session Cookie Without Secure Flag ???

Messagepar baboon » 02 Février 2015, 14:40

Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3279
Inscription: 08 Juillet 2005, 17:49

Re: Faille Web: Session Cookie Without Secure Flag ???

Messagepar garenfletch » 03 Février 2015, 14:33

ok grand merci
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Dem0nizer et 2 invités