• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Отключена защита системных cookie

Главная Специалистам База уязвимостей Отключена защита системных cookie

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP AS JAVA (SAP NetWeaver)
Описание
Приложения Java EE могут использовать системные cookie-файлы для сбора пользовательских данных (например, данных о сессиях, входе в систему и т.п.). Данные cookie-файлы содержат конфиденциальную информацию о пользователе. Чтобы исключить несанкционированное использование подобных данных, cookie-файлы должны быть недоступны сценариям на стороне клиента. Для защиты системных cookie-файлов рекомендуется использовать атрибут HttpOnly. Использование атрибута HttpOnly повышает безопасность системы за счет ограничения доступа сторонних сценариев, апплетов и плагинов веб-браузера к cookie-файлам. Однако, подобные настройки могут привести к некорректной работе приложений, использующих данные cookie-файлов.
Для обеспечения совместимости, использование атрибута HttpOnly для системных cookie-файлов отключено по умолчанию. Рекомендуется вручную включить функцию его присвоения, убедившись, что ваши приложения не используют системные cookie-файлы на стороне клиента.
Не устанавливайте параметру SystemCookiesDataProtection значение true, если параметр ICM disable_url_session_tracking также имеет значение true. Если оба параметра имеют значение true, то AS Java не сможет корректно обрабатывать HTTP-сессии.
Как исправить
Установите параметру SystemCookiesDataProtection значение true.