Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP AS JAVA
(SAP NetWeaver)
Описание
Для обеспечения безопасности сессий рекомендуется включить следующие параметры:
SessionIPProtectionEnabled - данный параметр отвечает за состояние IP-защиты сессий. Если данный параметр имеет значение true, то доступ к HTTP-сессии с других IP-адресов невозможен. Обрабатываются только запросы с IP-адреса, с которого была запущена сессия.
SessionIdRegenerationEnabled - данный параметр отвечает за обновление сессий. Если данный параметр имеет значение true, то веб-контейнер обновляет идентификатор сессии при каждом входе в систему.
UseSecuritySessionIdUniqueName - данный параметр отвечает за создание уникального имени cookie-файла идентификатора защищенной сессии для каждой системы. Если данный параметр имеет значение true, то система генерирует специальное имя cookie-файла идентификатора защищенной сессии. Данный параметр может быть использован только при включенном параметре SessionIdRegenerationEnabled.
SecuritySessionIdGracePeriod - данный параметр определяет время, через которое AS Java может принимать HTTP-запросы, требующие аутентификации и отправляемые клиентом параллельно (в мс). Значение параметра по умолчанию составляет 2000 мс. Не рекомендуется увеличивать данное значение, если параллельные HTTP-запросы от одного клиента могут быть обработаны менее чем за 2 секунды (например, в высоконагруженных системах AS Java).
SecuritySessionIDHTTPSProtection - данный параметр отвечает предотвращение отправки cookie-файла идентификатора защищенной сессии через небезопасное HTTP-соединение. Если данный параметр имеет значение true, то cookie-файлам присваивается атрибут Secure и браузер будет отправлять их только через HTTPS-соединения.
SessionIPProtectionEnabled - данный параметр отвечает за состояние IP-защиты сессий. Если данный параметр имеет значение true, то доступ к HTTP-сессии с других IP-адресов невозможен. Обрабатываются только запросы с IP-адреса, с которого была запущена сессия.
SessionIdRegenerationEnabled - данный параметр отвечает за обновление сессий. Если данный параметр имеет значение true, то веб-контейнер обновляет идентификатор сессии при каждом входе в систему.
UseSecuritySessionIdUniqueName - данный параметр отвечает за создание уникального имени cookie-файла идентификатора защищенной сессии для каждой системы. Если данный параметр имеет значение true, то система генерирует специальное имя cookie-файла идентификатора защищенной сессии. Данный параметр может быть использован только при включенном параметре SessionIdRegenerationEnabled.
SecuritySessionIdGracePeriod - данный параметр определяет время, через которое AS Java может принимать HTTP-запросы, требующие аутентификации и отправляемые клиентом параллельно (в мс). Значение параметра по умолчанию составляет 2000 мс. Не рекомендуется увеличивать данное значение, если параллельные HTTP-запросы от одного клиента могут быть обработаны менее чем за 2 секунды (например, в высоконагруженных системах AS Java).
SecuritySessionIDHTTPSProtection - данный параметр отвечает предотвращение отправки cookie-файла идентификатора защищенной сессии через небезопасное HTTP-соединение. Если данный параметр имеет значение true, то cookie-файлам присваивается атрибут Secure и браузер будет отправлять их только через HTTPS-соединения.
Как исправить
1. Установите параметру SessionIdRegenerationEnabled значение true.
2. Установите параметру SessionIPProtectionEnabled значение true.
3. Установите параметру SecuritySessionIdHTTPSProtection значение true.
4. Установите параметру UseSecuritySessionIdUniqueName значение true.
5. Установите параметру SecuritySessionIdGracePeriod значение, равное 2000 миллисекундам.
2. Установите параметру SessionIPProtectionEnabled значение true.
3. Установите параметру SecuritySessionIdHTTPSProtection значение true.
4. Установите параметру UseSecuritySessionIdUniqueName значение true.
5. Установите параметру SecuritySessionIdGracePeriod значение, равное 2000 миллисекундам.