Alta
Defensa Civil: cookie de sesión sin HttpOnly ni SameSite
Categoría
Cookie insegura
Estado
ActivoConfianza
high
Observado
2026-06-27
Resumen
La portada de defensacivil.gov.co emite una cookie de sesion con Secure, pero sin HttpOnly ni SameSite.
Por qué importa
Cookies de sesion sin HttpOnly ni SameSite elevan el impacto de XSS y facilitan envio cross-site no deseado.
Trazabilidad
Primera aparición
2026-06-27
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Setear `Secure` en cookies de sesión (solo viajan por HTTPS).
- •`HttpOnly` para evitar acceso desde JavaScript (mitiga XSS).
- •`SameSite=Lax` o `Strict` para mitigar CSRF.