客户的安全团队进行月度安全扫描,发现经过阿里云WAF防护的域名访问日志中出现了没有安全标记的HTTP_Cookie。例如下面的日志:
日志实例
安全团队认为这样的http_cookie是存在漏洞且不安全的。那么事情真是这样吗?这些cookie又是为什么产生的呢?小新来分析一下,希望能够为阿里云的安全运维提供一点帮助。
首先这样的http_cookie是由阿里云WAF生成的。每个经过阿里云WAF的通信都会被附加http_cookie。主要用途是为这些通信进行标记会话跟踪和用户CC防护场景计数统计。在实际应用中小新也发现偶尔会有http_cookie为空的情况,阿里云给出的解释是访问者可能使用了阿里云不支持的客户端。所以没有能够附加http_cookie. 另外,http_cookie是没有安全标记的。我想这也是安全团队将此问题标记为不安全的根本原因。
综合上面的分析,我们可以看出http_cookie属于阿里云WAF自用的信息且已经加密。安全性是可以得到保证的。但阿里云也确实没有为http_cookie做安全标记。从cookie安全角度来说很容易被诟病。因此,阿里云也可以根据用户的要求去掉http_cookie。但也会损失一部分与http_cookie相关的功能。
最后,要说明一下。http_cookie是WAF自身附加的。与用户采用HTTPS/HTTP方式进行访问没有任何关联!在阿里云控制台上是无法关闭http_cookie的。需要通过工单或直接与WAF后台技术团队沟通才能够关闭http_cookie.
| 留言与评论(共有 0 条评论) “” |
