Cookie No HttpOnly Flag

概要

  • 脆弱性の名前: Cookie No HttpOnly Flag (Cookie に HttpOnly フラグが設定されていない)
  • 問題の要点: Cookie に HttpOnly フラグが設定されていないため、JavaScript から Cookie にアクセスできてしまい、クロスサイトスクリプティング (XSS) 攻撃によって Cookie が盗まれるリスクがある状態。
  • よくある発生シーン: Web アプリケーションの開発時に、Cookie の設定が適切に行われていない場合。特に、フレームワークのデフォルト設定を使用している場合や、開発者が HttpOnly フラグの存在を知らない場合に発生しやすい。クラウド環境では、複数のサービスが連携して動作することが多いため、Cookie の設定ミスが問題視されています。

背景

Cookie は、Web アプリケーションがユーザーのセッション ID や認証情報などを保存するために使用される重要なメカニズムです。HttpOnly フラグは、JavaScript からの Cookie へのアクセスを制限するために 2002 年に Microsoft によって導入されました。
HttpOnly フラグを設定することで、XSS 攻撃によって Cookie が盗まれるリスクを低減できます。
近年、Web アプリケーションのセキュリティ対策として、HttpOnly フラグの設定が重要視されています。

セキュリティ上のリスク

  • XSS 攻撃によるセッションハイジャック。
  • クロスサイトスクリプティングによる認証情報の窃取。
  • 悪意のあるスクリプトによる Cookie の改ざん。
  • ユーザーのプライバシー情報の漏洩。

対処方法の具体例

PHP

誤った設定例

HttpOnly フラグが設定されていない Cookie の設定例:

<?php
// 誤った例: HttpOnly フラグが設定されていない
setcookie('session_id', '1234567890', time() + 3600, '/', 'example.com', true, false);
?>

正しい設定例

HttpOnly フラグを設定した Cookie の設定例:

<?php
// 正しい例: HttpOnly フラグを設定
setcookie('session_id', '1234567890', [
    'expires' => time() + 3600,
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Lax'
]);
?>

または

<?php
// セッションの設定
ini_set('session.cookie_httponly', 1);
?>

JavaScript

JavaScript で Cookie を設定する場合、HttpOnly フラグを設定することはできません。HttpOnly フラグは、サーバーサイドで Cookie を設定する際にのみ有効です。

AWS

正しい設定例

ロードバランサー (ALB/ELB) で Cookie を設定する場合、HttpOnly フラグを設定することができます。

検出方法

OWASP ZAP での出力例

  • Alert 名: Cookie No HttpOnly Flag
  • リスク: Low
  • URL: Cookie が設定されている URL
  • パラメータ: Cookie の名前
  • 詳細: HttpOnly フラグが設定されていない Cookie が存在するという情報

手動再現例

  1. Web ブラウザの開発者ツールを開き、Application タブを選択します。
  2. Cookies の項目を選択し、Cookie の一覧を表示します。
  3. HttpOnly の項目が false になっている Cookie が存在する場合、脆弱性が存在します。
curl -I https://example.com

上記コマンドを実行し、HTTP レスポンスヘッダーの Set-CookieHttpOnly フラグが存在しない場合、脆弱性が存在する可能性があります。

まとめ

  • CVSS 基本値: 3.1 (Low)
  • 運用チームや開発者が意識すべきポイント:
    • Cookie を設定する際には、必ず HttpOnly フラグを設定する。
    • セッション Cookie には、特に HttpOnly フラグを設定する。
    • Cookie の設定を定期的に見直し、HttpOnly フラグの設定漏れがないか確認する。
  • 再発防止:
    • 開発プロセス全体でセキュリティを考慮する (Security by Design)。
    • コードレビューを実施し、HttpOnly フラグの設定漏れを早期に発見する。
    • 自動脆弱性診断ツールを導入し、定期的にスキャンを行う。
    • Cookie の設定に関するポリシーを策定し、遵守する。

補足資料・参考 URL

以上の対策と検出方法を活用して、Cookie No HttpOnly Flag のリスクを低減してください。