Session-achtige cookie `sid` zonder HttpOnly
De cookie ziet er uit als een sessiecookie maar kan door JavaScript worden uitgelezen. Een XSS kan daardoor direct de sessie overnemen.
Screenshot
Geen visual evidence beschikbaar
Geen screenshot
Deze finding komt uit een passive HTTP check zonder visuele observatie. Start een ACTIVE_BROWSER of AUTHENTICATED_BROWSER scan om screenshots te verzamelen.
Waarom dit belangrijk is
Een XSS-kwetsbaarheid wordt vrijwel gelijk aan een volledige accountovername voor ingelogde gebruikers.
Hoe je dit oplost
Zet HttpOnly op alle session-/auth-cookies. Frontend code moet nooit direct bij het session token kunnen.
AI-uitleg (ondersteunend)
Laat een taalmodel deze finding vertalen naar mensentaal en een concreet fix-voorstel.
Geen AI-uitleg gegenereerd. Dit is optioneel en alleen ondersteunend — de scan-bevindingen blijven leidend.
DOM context
Geen DOM snippet
Deze check vangt geen DOM-context op.
Technische observatie
Alleen lezende waarnemingen
{
"name": "sid",
"attrs": [
"path",
"secure"
]
}Locatie
- Selector
- —
- Flow
- —
- Stap
- —
Mapping
Historie
Nog geen statuswijzigingen.