2

IIS 6.0 でクラシック ASP サイトを実行しているクライアントがいます。Web サイトは、ASP.NET 構成タブで ASP.NET 2.0 を対象としています。彼のサイトの最近の PCI スキャンでは、彼の ASPSESSIONID Cookie に HttpOnly の脆弱性があり、失敗しています。

手動で作成されたすべての Cookie に HttpOnly を正常に設定する ISAPI .dll をインストールしましたが、何らかの理由で ASPSESSIONID Cookie は影響を受けません。

次の構成で web.config を設定しました。

<system.web>
    <httpCookies httpOnlyCookies="true" />
</system.web>

この構成は、何に対しても何の影響もないようです。Web サイトは ASP.NET 2.0 を対象としていますが、結局のところクラシック ASP アプリケーションであり、HttpOnly はまったくサポートされていなかったのではないかと思います。

クライアントの Web サイトでは、 のglobal.asa代わりに が使用されていglobal.asaxます。これは、Application_EndRequest を使用して HttpOnly を追加することを除外します。

Firefox/Firebug を使用してクライアントのサイトをロードし、Cookie を確認できます。手動で作成されたものは HttpOnly が設定されていますが、ASPSESSIONID Cookie は HttpOnly ではありません。

このセットアップ シナリオで ASPSESSIONID Cookie を HttpOnly にする方法を知っている人はいますか?

4

2 に答える 2

1

ASP セッション Cookie は従来の ASP コードでは変更できないため、IIS 6 では ISAPI モジュールで Cookie を書き換える必要があります。

Classic ASP セッション Cookie の HTTPONLY の設定

http://msdn.microsoft.com/en-us/library/ms972826

クライアント側の JavaScript の回避策

http://ko-lwin.blogspot.com/2010/12/how-to-secure-classic-asp-session-id.html

于 2012-11-27T03:08:46.607 に答える