Hello thre, ('ω')ノ

 

bWAPPのlogin.phpを拝見するとHttpOnly未設定の問題が。

 

 

CWE-16となっていて。

 

 

レスポンスを確認すると。

レスポンスヘッダの Set-Cookieヘッダフィールド値に。

"HttpOnly"属性が指定されていないので脆弱性ありと判断して。

 

 

次にクリックジャッキングのメニューを選択して。

 

 

履歴よりスキャンを実行してみると。

 

 

クリックジャッキングが診断結果に表示されて。

 

 

CWE-693で。

 

 

レスポンスを拝見すると。

X-Frame-Optionsヘッダフィールドがなくて。

値が「DENY」、「SAMEORIGIN」、「ALLOW-FROM (uri)」でもないので。

脆弱性ありと判断できて。 

 

 

Best regards, (^^ゞ