Hallazgoscandidate-anh-cookie_insegura-4bf75aedc9
Alta

ANH: cookie sin Secure ni SameSite

Categoría

Cookie insegura

Estado

Activo

Confianza

high

Observado

2026-06-27

Resumen

ANH emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite, durante la navegacion inicial del portal.

Por qué importa

Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Trazabilidad

Primera aparición

2026-06-27

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Setear `Secure` en cookies de sesión (solo viajan por HTTPS).
  • `HttpOnly` para evitar acceso desde JavaScript (mitiga XSS).
  • `SameSite=Lax` o `Strict` para mitigar CSRF.

Entidades afectadas (1)

ID: candidate-anh-cookie_insegura-4bf75aedc9·Origen: Pipeline manual