Help us learn about your current experience with the documentation.
Take the survey.
使用 GET 请求方法处理敏感查询字符串(会话 ID)
Description
在请求 URL 和 cookie 值中均发现了会话 ID。会话 ID 不应通过 GET 请求发送,因为它们可能会被代理系统捕获、存储在浏览器历史记录中,或存储在日志文件中。如果攻击者获取到会话 ID,他们就有可能获得目标账户的访问权限。
由于请求头很少被第三方系统记录或捕获,请确保会话 ID 值仅通过 cookie(通过 Set-Cookie 响应头设置)发送,并且绝不在请求 URL 中发送。
Details
| ID |
聚合 |
CWE |
类型 |
风险 |
| 598.1 |
true |
598 |
Passive |
Medium |
Links