Alta
ANH: cookie sin Secure ni SameSite
Categoría
Cookie insegura
Estado
ActivoConfianza
high
Observado
2026-06-27
Resumen
ANH emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite, durante la navegacion inicial del portal.
Por qué importa
Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.
Trazabilidad
Primera aparición
2026-06-27
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Setear `Secure` en cookies de sesión (solo viajan por HTTPS).
- •`HttpOnly` para evitar acceso desde JavaScript (mitiga XSS).
- •`SameSite=Lax` o `Strict` para mitigar CSRF.