Checkmarx Cookie_Injection

2019-07-17

前言

最近系統被 Checkmarx 掃出有 Cookie_Injection 的問題。
似乎是怕在 Server 端取得 Cookie 的值，再給 Client 端時，會發生 XSS 的問題。
但它的 Issue 點卻是在 Request.Cookies[cookieName] ，如下，

var cookieNme = "SurveyCookie";
HttpCookie cookie = Request.Cookies[cookieNme];
if (cookie == null)
{
  // no cookie found, create it
  cookie = new HttpCookie(cookieNme);
}
cookie.Values["usrId"] = HttpUtility.UrlEncode(otherValue1);
cookie.Values["usrName"] = HttpUtility.UrlEncode(otherValue2);
// update the expiration timestamp
cookie.Expires = DateTime.UtcNow.AddDays(30);
// HttpOnly & Secure 可以在 web.config 中設定
cookie.HttpOnly = true;
cookie.Secure = true;
// overwrite the cookie
Response.Cookies.Add(cookie);

解法

感覺 Checkmarx 一見到取回 Request 的 Cookie 就開槍。
所以只好調整成，取回 Cookie 的 Values ，然後改判斷它的值。
如果要產生 cookie 的話，就直接新增一個 cookie 物件，也不是重新利用 Request 的物件，如下，

var cookieValues = Request.Cookies[cookieNme]?.Values;
if (cookieValues != null)
{
  var usrId = HttpUtility.UrlEncode(cookieValues["usrId"]);
}
var cookie = new HttpCookie(cookieNme);
cookie.Values["usrId"] = HttpUtility.UrlEncode(otherValue1);
cookie.Values["usrName"] = HttpUtility.UrlEncode(otherValue2);
// update the expiration timestamp
cookie.Expires = DateTime.UtcNow.AddDays(30);
// HttpOnly & Secure 可以在 web.config 中設定
cookie.HttpOnly = true;
cookie.Secure = true;
// overwrite the cookie
Response.Cookies.Add(cookie);

註: ?. 是 C#4 的語法，如果有問題的話，請更新 Microsoft.CodeDom.Providers.DotNetCompilerPlatform 套件。

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true