Geekflare
[gtranslate]
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Apache HTTP y Seguridad  |  Última actualización: 14 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Cookie segura con HttpOnly y Secure flag en Apache

Por

Implementar la bandera de encabezado HTTP cookie con HTTPOnly & Secure para proteger un sitio web de ataques XSS.

¿Sabe que puede mitigar las Ataques XSS utilizando HttpOnly y Secure bandera con su galleta?

XSS es peligroso. Al observar diariamente un número creciente de ataques XSS, debe tener en cuenta seguridad de las aplicaciones web.

Sin tener las banderas HttpOnly y Secure en la cabecera de respuesta HTTP, es posible robar o manipular sesiones y cookies de aplicaciones web.

Es mejor gestionar esto dentro del código de la aplicación. Sin embargo, debido al desconocimiento de los desarrolladores, llega a los administradores del Servidor Web.

No voy a hablar de cómo establecer estos a nivel de código. Puede consultar aquí.

Procedimiento de implantación en Apache

  • Asegúrese de tener mod_headers.so activado en el servidor HTTP Apache
  • Añada la siguiente entrada en httpd.conf
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  • Reinicie el servidor HTTP Apache para probar

Nota: La edición del encabezado no es compatible con inferior a la versión Apache 2.2.4.

Puede utilizar lo siguiente para establecer el HttpOnly y seguro en una versión inferior a la 2.2.4. Gracias a Ytse por compartir esta información.

Header set Set-Cookie HttpOnly;Secure

Verificación

Puede aprovechar las herramientas de desarrollo integradas en el navegador para comprobar el encabezado de respuesta o utilizar un comando herramienta en línea.

¿Ayudó?

Este es uno de los muchos hardening cosas que hacer en Apache.

  • Chandan Kumar
    Autor
Gracias a nuestros patrocinadores
Más lecturas sobre Apache HTTP
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Lunes.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba el lunes
  • Intruso
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder