• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1539605 - Ложное перенаправление содержимого веб-сайта в Portal

Главная Специалистам База уязвимостей Note 1539605 - Ложное перенаправление содержимого веб-сайта в Portal

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1539605-5)
Описание
С некоторых страниц в Portal осуществляется междоменное перенаправление.
Злоумышленники могут внедрить в целевое приложение URL-адрес, принадлежащий другому домену, путем отправки URL-адреса пользователю целевого приложения.
При посещении принадлежащей другому домену страницы злоумышленника пользователь уверен, что видит подлинное содержимое, имеющее отношение к целевому приложению.
В дальнейшем злоумышленники могут имитировать страницы целевого приложения (например, страницу входа в систему) для получения доступа к конфиденциальной информации (пользовательским паролям). Избежать данной проблемы можно, установив перенаправление только на родственные или локальные домены.
Как исправить
В IE6 в настройках безопасности во вкладке Разное (Miscellaneous) включен параметр 'Navigate sub-frames across different domains' ('Переход между субфреймами с использованием разных доменов'). Необходимо выбрать опцию 'Отключить' ('Disable') для предотвращения атак или 'Запрашивать подтверждение' ('Prompt'), в таком случае пользователь сможет подтвердить переход.
Данная ошибка устранена в более поздних версиях Internet Explorer, а также других браузеров с поддержкой SAP.
Ссылки