Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(943336-10)
Описание
Начиная с Internet Explorer 6 SP1, компания Microsoft обеспечивает поддержку нового атрибута cookie "HttpOnly". Он предназначен для обеспечения защиты серверных cookie, у которых установлен данный атрибут, от сценариев клиентов. Таким образом, вредоносные сценарии злоумышленников не могут подменить cookie и направить их на сайты злоумышленника.
Если некий сценарий клиента (например, JavaScript) попытается получить доступ к cookie, имеющим атрибут HttpOnly, то Internet Explorer (6.0 SP1) возвратит пустую строку. Если доступ к cookie получен из кода Java, то значения cookie возвращаются как обычно.
Более подробную информацию можно получить из статьи Microsoft по адресу: (http://msdn2.microsoft.com/en-us/library/ms533046.aspx).
http://msdn2.microsoft.com/en-us/library/ms533046.aspx">http://msdn2.microsoft.com/en-us/library/ms533046.aspx).
/>
Поддержка атрибута HttpOnly добавлена в веб-контейнер движка J2EE для cookie, сгенерированных сервером - JSESSIONID и cookie балансировки нагрузки (при помощи saplb_ prefix). Таким образом, синтаксис заголовка Set-Cookie для этих cookie будет представлять следующее:
Set-Cookie: JSESSIONID|saplb_<domain>=<value> [; expires=<date>][; domain=<domain_name>] [; path=<some_path>][; HttpOnly],
где регистр атрибута HttpOnly не учитывается.
Если некий сценарий клиента (например, JavaScript) попытается получить доступ к cookie, имеющим атрибут HttpOnly, то Internet Explorer (6.0 SP1) возвратит пустую строку. Если доступ к cookie получен из кода Java, то значения cookie возвращаются как обычно.
Более подробную информацию можно получить из статьи Microsoft по адресу: (http://msdn2.microsoft.com/en-us/library/ms533046.aspx).
http://msdn2.microsoft.com/en-us/library/ms533046.aspx">http://msdn2.microsoft.com/en-us/library/ms533046.aspx).
/>
Поддержка атрибута HttpOnly добавлена в веб-контейнер движка J2EE для cookie, сгенерированных сервером - JSESSIONID и cookie балансировки нагрузки (при помощи saplb_ prefix). Таким образом, синтаксис заголовка Set-Cookie для этих cookie будет представлять следующее:
Set-Cookie: JSESSIONID|saplb_<domain>=<value> [; expires=<date>][; domain=<domain_name>] [; path=<some_path>][; HttpOnly],
где регистр атрибута HttpOnly не учитывается.
Как исправить
Настройка атрибута HttpOnly осуществляется при помощи свойства SystemCookiesDataProtection службы HTTP Provider Service. Если в настройках указано значение "true", то системные cookie будут иметь атрибут HttpOnly.
Для защиты cookie от сценариев клиента необходимо установить для SystemCookiesDataProtection значение "true".
Если дополнительная защита cookie не требуется и необходимо сохранить исходное поведение движка J2EE Engine (для SP17 и ниже), то установите для SystemCookiesDataProtection значение "false".
Внимание: если ваше приложение обрабатывает какие-либо системные cookie, указанные выше, то необходимо установить значение "false". Это особенно важно для JSESSIONID cookie, отражающих механизмы J2EE Servlet для трассировки сессий.
Более подробную информацию о подобных настройках для SAP Logon Ticket (MYSAPSSO2) см. на сайте help.sap.com в описании свойства ume.logon.httponlycookie.
Для защиты cookie от сценариев клиента необходимо установить для SystemCookiesDataProtection значение "true".
Если дополнительная защита cookie не требуется и необходимо сохранить исходное поведение движка J2EE Engine (для SP17 и ниже), то установите для SystemCookiesDataProtection значение "false".
Внимание: если ваше приложение обрабатывает какие-либо системные cookie, указанные выше, то необходимо установить значение "false". Это особенно важно для JSESSIONID cookie, отражающих механизмы J2EE Servlet для трассировки сессий.
Более подробную информацию о подобных настройках для SAP Logon Ticket (MYSAPSSO2) см. на сайте help.sap.com в описании свойства ume.logon.httponlycookie.
Ссылки