Opa pessoal, trabalho como pentester e tava fazendo uma análise esses dias quando encontrei um cookie de sessão (não era JWT) sem HttpOnly e sem SameSite num projeto razoavelmente grande.
Parece detalhe, mas o impacto é sério, pois dependendo das outras camadas de proteção, um atacante pode roubar o cookie via XSS, usar pra autenticar como o usuário, e a vítima não vai perceber. O dono do produto também não, pois não quebra nada e não aparece em logs.
São esses detalhes pequenos que fazem muita diferença no dia a dia. Já fiz muita análise assim e muito site só se salvou pq tinha as flags de cookies bem configuradas e/ou proteção contra XSS.
Além disso, tem o problema com a forma como o cookie de sessão é utilizado. O tempo de expiração dele, etc...
E vou te contar, tem site que a galera usa todo dia (redes sociais, streaming, etc.) que não gerencia bem essas sessões e (mais uma vez) só escapa por conta de proteções de cookies e XSS.
Não é querendo fazer propaganda não mas eu estou desenvolvendo (junto a uma galerinha top) uma ferramenta que testa essas flags de cookies, dentre muitas outras vulnerabilidades.
Pra quem quiser checar rápido os cookies sem abrir o DevTools na mão, dá uma olhadinha na CarameloSec e dá uma opinião sincera.
Meu intuito é mais discutir sobre esse assunto com vcs, vender o peixe é secundário. Vocês, como devs, tem essa preocupação com os cookies e a segurança deles?