Hallazgoscandidate-defensacivil-cookie_insegura-5d00fc57b1
Alta

Defensa Civil: cookie de sesión sin HttpOnly ni SameSite

Categoría

Cookie insegura

Estado

Activo

Confianza

high

Observado

2026-06-27

Resumen

La portada de defensacivil.gov.co emite una cookie de sesion con Secure, pero sin HttpOnly ni SameSite.

Por qué importa

Cookies de sesion sin HttpOnly ni SameSite elevan el impacto de XSS y facilitan envio cross-site no deseado.

Trazabilidad

Primera aparición

2026-06-27

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings.json2026-06-27
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Setear `Secure` en cookies de sesión (solo viajan por HTTPS).
  • `HttpOnly` para evitar acceso desde JavaScript (mitiga XSS).
  • `SameSite=Lax` o `Strict` para mitigar CSRF.

Entidades afectadas (1)

ID: candidate-defensacivil-cookie_insegura-5d00fc57b1·Origen: Pipeline manual