• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Ненадежные настройки SAP Logon Ticket

Главная Специалистам База уязвимостей Ненадежные настройки SAP Logon Ticket

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP AS JAVA (SAP NetWeaver)
Описание
При использовании Logon Ticket для аутентификации в веб-приложениях, logon ticket хранится как non-persistent cookie в веб-браузере. Cookie-файл содержит в себе информацию, достаточную для успешного прохождения процедуры регистрации в системе, поэтому рекомендуется передавать такие cookie только по протоколу SSL. Cookie, имеющие маркировку Secure cookie, пересылаются веб-браузером только с использованием протокола SSL. Для включения маркировки установите параметру ume.logon.security.enforce_secure_cookie значении true.
Для снижения риска несанкционированного использования logon ticket, рекомендуется уменьшить срок действия logon ticket, установив параметру ume.admin.login.ticket_lifetime соответствующие значения.
Для предотвращения чтения logon ticket сценариями JavaScript на стороне клиента, рекомендуется задать опцию HttpOnly, установив параметру ume.logon.httponlycookie значение true.
Как исправить
Рекомендуется установить более надежные значения конфигурационных параметров через консоль Visual Administrator.
Ссылки
SAP Note 1527879
SAP Note 1531399