SEC_005_SESSION_COOKIE_HARDENING: Session-Cookies sind gehaertet
Severity: must. Bereich: security.
Regel
Session-Cookies MUESSEN Secure, HttpOnly und ein bewusst gesetztes SameSite-Attribut nutzen; Session-IDs MUESSEN bei Login und Privilegwechsel erneuert werden.
Reflection-Check
check:
reflect:
object: session_policyEvidence
- OWASP_SESSION, OWASP Session Management Cheat Sheet
- OWASP_AUTH, OWASP Authentication Cheat Sheet