Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1539605-5)
Описание
С некоторых страниц в Portal осуществляется междоменное перенаправление.
Злоумышленники могут внедрить в целевое приложение URL-адрес, принадлежащий другому домену, путем отправки URL-адреса пользователю целевого приложения.
При посещении принадлежащей другому домену страницы злоумышленника пользователь уверен, что видит подлинное содержимое, имеющее отношение к целевому приложению.
В дальнейшем злоумышленники могут имитировать страницы целевого приложения (например, страницу входа в систему) для получения доступа к конфиденциальной информации (пользовательским паролям). Избежать данной проблемы можно, установив перенаправление только на родственные или локальные домены.
Злоумышленники могут внедрить в целевое приложение URL-адрес, принадлежащий другому домену, путем отправки URL-адреса пользователю целевого приложения.
При посещении принадлежащей другому домену страницы злоумышленника пользователь уверен, что видит подлинное содержимое, имеющее отношение к целевому приложению.
В дальнейшем злоумышленники могут имитировать страницы целевого приложения (например, страницу входа в систему) для получения доступа к конфиденциальной информации (пользовательским паролям). Избежать данной проблемы можно, установив перенаправление только на родственные или локальные домены.
Как исправить
В IE6 в настройках безопасности во вкладке Разное (Miscellaneous) включен параметр 'Navigate sub-frames across different domains' ('Переход между субфреймами с использованием разных доменов'). Необходимо выбрать опцию 'Отключить' ('Disable') для предотвращения атак или 'Запрашивать подтверждение' ('Prompt'), в таком случае пользователь сможет подтвердить переход.
Данная ошибка устранена в более поздних версиях Internet Explorer, а также других браузеров с поддержкой SAP.
Данная ошибка устранена в более поздних версиях Internet Explorer, а также других браузеров с поддержкой SAP.
Ссылки