BO 4 .2解决安全漏洞

2020-09-05 03:44发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨, 我们正在运行带有Apac...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我们正在运行带有Apache Tomcat的BO 4.2 SP05,以及在它们前面运行Apache的独立的反向代理服务器。

我们被要求解决以下漏洞

  1. 缓慢的HTTP POST漏洞

解决方案将是特定于服务器的,但是一般的建议是:-将可接受的请求的大小限制为每种表单要求-建立最低可接受的速度-建立与POST请求特定于服务器的连接的绝对请求超时

2.包含密码字段的HTML表单通过HTTP提供

确保包含密码字段的HTML表单始终仅通过HTTPS提供。

我猜如果我们将tomcat/conf/server.xml中的tomcat连接器更改为使用ssl一个,这可能会解决2)

是这样吗?

<连接器端口=" 8443",协议=" org.apache.coyote.http11.Http11NioProtocol" maxThreads =" 150" SSLEnabled =" true"> <证书certificateKeystoreFile =" conf/localhost-rsa.jks" type =" RSA"/>

3.使用已知漏洞的JavaScript库

该Web应用程序正在使用一个或多个包含已知漏洞的JavaScript库。

易受攻击的JavaScript库:jQuery版本:1.12.4脚本uri: https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/js/jquery.min.js 详细信息:CVE-2015-9251:jQuery 1.4.0或更高版本以及1.12.0以下(版本1.12.3以及更高版本但也低于3.0.0-beta1)的版本很容易通过第三方文本/javascript响应受到XSS的攻击(可以执行第三方CORS请求)。 ( https://github.com/jquery/jquery/issues/2432)。 解决方案:jQuery 3.0.0版本已发布,以解决该问题( http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released /)。 请参考供应商文档( https://blog.jquery.com /) 安全更新。 ----------------------------------------------在jQuery版本中 或高于1.12.2且低于2.2.0的$ .parseHTML具有XSS(很多)。 在这些版本中,parseHTML()在事件处理程序中执行脚本。 请参考以下资源以获取更多详细信息: https://bugs.jquery.com/ticket/ 11974 http://research.insecurelabs.org/jquery/test /---------------------------------------------- CVE-2019-11358:Drupal,Backdrop CMS和其他产品中使用的3.4.0以下的jQuery版本由于Object.prototype污染而错误地处理了jQuery.extend(true,{},...)。 包含可枚举__proto__属性的未经消毒的源对象可以扩展本机Object.prototype。 请参考以下资源以获取更多详细信息: https://blog.jquery.com/2019/04/10/jquery-3-4-0-released /, https://nvd.nist.gov/vuln/detail/CVE-2019-11358 https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b https://nvd.nist.gov/vuln/detail/CVE-2019-11358 。 在以下页面上找到(仅报告前10页): https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/607df911dca44e5798e21a0152393932.html https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/search.html https://server.com/BOE/portal/ 1806171610/InfoView/help/zh/04968906ad7f46859a0382db069db130.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/19803bf22d294b77b8a0fa25aa6245a6.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh/0ab4b69b968944b0a757c726899e9a6f.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/en/1cc9e932022e4ee2a46d6432a84532a3.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/38745b17bb9a4f20b138531880ad03a2.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/452aa127115b4afba2a49a29b2c8ad7b.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/423ccd8c351a4f2dbe4a4c92a821e733.html ? x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/46ac7fed6e041014910aba7db0e91070.html ? x = 2832077246133594支持证据 server.com 资产

的HTTP方法响应严重报告

这是应用程序的一部分-我们如何解决这个问题?

4条回答
Cikesha
2020-09-05 04:36 .采纳回答

对于#2,在Tomcat中启用HTTPS仅会影响Apache反向代理与Tomcat之间的通信,而不会启用来自浏览器的安全加密通信。 为此,您将需要在反向代理上启用HTTPS。

一周热门 更多>