OWASP WebGoat:HTTPOnly Test

From aldeid
Jump to navigation Jump to search

HTTPOnly Test

Description

HTTPOnly est un flag additionnel inclus dans l'en-tête de réponse de la fonction Set-Cookie, dont voici la syntaxe de base :

Set-Cookie: <nom>=<value>[; <Max-Age>=<age>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HTTPOnly]

L'utilisation du flag HTTPOnly permet de réduire les risques d'une attaque de type XSS lors de la génération d'un cookie, si la fonction est supportée par le navigateur. Si ces conditions sont réunies, la technique consiste à rendre le cookie inaccessible par des scripts clients.

Tests sous IE et FF

Read/
Write
Internet Explorer 6 Firefox 3.0.10
Read Httponlyoff-ie-read-cookie.png Httponlyoff-ff-read-cookie.png
Read Httponlyoff-ie-write-cookie.png Httponlyoff-ff-write-cookie.png
Write Httponlyon-ie-read-cookie.png Httponlyon-ff-read-cookie.png
Write Httponlyon-ff-write-cookie.png Httponlyon-ie-write-cookie.png

Tableau de synthèse

Navigateur Version Empêche "Read" Empêche "Write"
Microsoft Internet Explorer 8 Beta 2 Check.png Check.png
Microsoft Internet Explorer 7 Check.png Check.png
Microsoft Internet Explorer 6 (SP1) Check.png Uncheck.png
Mozilla Firefox 3.0.0.6+ Check.png Check.png
Netscape Navigator 9.0b3 Check.png Check.png
Opera 9.23 Uncheck.png Uncheck.png
Opera 9.50 Check.png Uncheck.png
Safari 3.0 Uncheck.png Uncheck.png
Google's Chrome Beta (initial public release) Check.png Uncheck.png