without the that secure not for flag ensure does cookie attribute all asp-classic httponly session-cookies

asp-classic - the - header set cookie secure



Configuración de HTTPONLY para la cookie de sesión Asp clásica (5)

Microsoft incluye un ejemplo que utiliza un filtro ISAPI para todas las cookies salientes: http://msdn.microsoft.com/en-us/library/ms972826

o se podría utilizar la reescritura de URL http://forums.iis.net/p/1168473/1946312.aspx

<rewrite> <outboundRules> <rule name="Add HttpOnly" preCondition="No HttpOnly"> <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" /> <action type="Rewrite" value="{R:0}; HttpOnly" /> <conditions> </conditions> </rule> <preConditions> <preCondition name="No HttpOnly"> <add input="{RESPONSE_Set_Cookie}" pattern="." /> <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" /> </preCondition> </preConditions> </outboundRules> </rewrite>

¿Alguien sabe exactamente cómo configurar HTTPONLY en las cookies de sesión ASP clásicas?

Esto es lo último que se ha marcado en una exploración de vulnerabilidades y debe solucionarse lo antes posible, por lo que se agradece cualquier ayuda.

~~~ UN POCO MÁS INFORMACIÓN SOBRE MI PROBLEMA ~~~

¿Alguien por favor me puede ayudar con esto?

Necesito saber cómo configurar HTTPONLY en la cookie ASPSESSION creada de forma predeterminada desde ASP e IIS.

Esta es la cookie creada automáticamente por el servidor para todas las páginas asp.

Si es necesario, puedo configurar HTTPONLY en todas las cookies en todo el sitio.

Cualquier ayuda sobre cómo hacer esto sería apreciada masivamente.

Gracias

Gracias Elliott


Si tiene IIS7 +, debe asegurarse de que el módulo de reescritura de URL esté instalado. Puedes instalarlo con el instalador de plataforma web. El instalador de la plataforma web se puede encontrar en la vista de características de su sitio web. Debe ejecutar el Administrador de IIS como administrador.

Haga clic en el instalador de la plataforma web en la vista de características de su sitio web:

Asegúrese de que el producto del servidor de reescritura de URL esté instalado. Si no lo es, entonces instálalo.

Con el producto del servidor de reescritura de URL instalado, puede usar la función de reescritura de URL en su sitio web para agregar una regla para agregar HttpOnly a sus cookies de ID de sesión.

Debería ver, si no existe, un archivo web.config creado para su sitio ASP. Tendrá los siguientes contenidos:

Si usa Firebug en Firefox para inspeccionar sus cookies, ahora debería ver el conjunto de indicadores HttpOnly:



Esta página tiene mucha información que es relevante para su problema.

.NET 1.1 no agrega HttpOnly porque aún no se ha inventado.

Si su aplicación se ejecutará bajo .NET 2.0 (moví varios sitios ASP clásicos a 2.0 virtualmente sin cambios) HttpOnly se configura de manera predeterminada.

Si lo leo bien, puedes obtener la cookie de sesión y adjuntarla ; HttpOnly; ; HttpOnly; lo. Da un ejemplo de java:

String sessionid = request.getSession().getId(); response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

Por último, sugiere:

Si los cambios de código no son factibles, los firewalls de aplicaciones web pueden usarse para agregar HttpOnly a las cookies de sesión.

Editado para agregar: para aquellos que piensan que la migración a .NET (que puede adaptarse a la mayoría del código ASP clásico sin cambios) es un cambio demasiado drástico para obtener una característica tan pequeña, mi experiencia con los filtros ISAPI es que ellos también pueden ser un gran problema. , y en algunas situaciones comunes (alojamiento compartido) no puedes usarlos en absoluto.