Application Specific VulnerabilityW

Application Specific VulnerabilityWASC Threat ClassificationInformation LeakageSecurity RiskThe worst case scenario for this attack depends on the context and role of the cookies that are created at the client sidePossible CausesCookies are created at the client sideCVE Reference(s)N/ACWE Reference(s)602IBM Security X-Force Reference52514Technical DescriptionA cookie is a piece of information usually created by the Web server and stored in the Web browser.The cookie contains information used by web applications mainly (but not only) to identify users and maintain their state.AppScan detected that the JavaScript code at the client side is used to manipulate (either create or modify) the site's cookies.It is possible for an attacker to view this code, understand its logic, and use it to compose his own cookies, or modify existing ones, based on this knowledge.The damage an attacker may cause depends on how the application uses its cookies, or what information it stores in them.Among other things, cookie manipulation may lead to session hijacking or privilege escalation.Other vulnerabilities caused by cookie poisoning contain SQL injection and Cross-Site scripting.Affected ProductsThis issue may affect different types oGeneral[1] Avoid placing business/security logic at the client side.[2] Find and remove insecure client-side Javascript code which may pose a security threat to the site.f products.References

Ứng dụng cụ thể Vulnerability WASC Threat Phân loại Thông tin rò rỉ rủi ro an ninh Trường hợp kịch bản xấu nhất cho cuộc tấn công này phụ thuộc vào bối cảnh và vai trò của các tập tin cookie được tạo ra tại phía khách hàng Nguyên nhân có thể Cookies được tạo ra tại phía khách hàng tham khảo CVE (s) N / A CWE Reference (s) 602 IBM An ninh X-Force Reference 52.514 kỹ thuật Mô tả Một cookie là một phần của thông tin thường được tạo ra bởi các máy chủ web và được lưu trữ trong trình duyệt Web. Các cookie có chứa thông tin được sử dụng bởi các ứng dụng web chủ yếu (nhưng không chỉ có) để xác định người sử dụng và duy trì trạng thái của họ. AppScan phát hiện rằng mã JavaScript ở phía khách hàng được sử dụng để thao tác (hoặc tạo ra hoặc sửa đổi) các tập tin cookie của trang web. Nó có thể cho một kẻ tấn công để xem mã này, hiểu được logic của nó, và sử dụng nó để soạn các cookie của riêng mình, hoặc sửa đổi những cái hiện có, trên cơ sở kiến thức này. Các tổn thương một kẻ tấn công có thể gây phụ thuộc vào cách ứng dụng sử dụng các tập tin cookie, hoặc những thông tin nó lưu trong đó. Trong số những thứ khác, thao tác cookie có thể dẫn đến việc cướp quyền hoặc leo thang đặc quyền. lỗ hổng khác do ngộ độc bánh chứa SQL injection và kịch bản Cross-Site. Sản phẩm bị ảnh hưởng vấn đề này có thể ảnh hưởng đến các loại khác nhau oGeneral [1] Tránh đặt logic kinh doanh / an ninh tại phía khách hàng. [2] Tìm và loại bỏ khách hàng- không an toàn bên mã Javascript mà có thể gây ra một mối đe dọa bảo mật cho các sản phẩm site.f. Tài liệu tham khảo