点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)专家您好, 我发现此安全...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)专家您好, 我发现此安全...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
专家您好,
我发现此安全问题在NW7.4 ABAP系统(Solution Manager 7.2)中测试HTTP访问:
如果我在chrome中请求网址http://sapsma.xxxxx.xxx:8077/sap/bc/ping?sap-client=001或iexplore来测试对客户端001的访问权限,则会弹出一个窗口来回答我 它询问用户和密码的位置。 当我提供此信息时,我进入了客户端001(服务器已成功连接)。
但是,然后,我不知道为什么,如果在登录客户端001后我请求url http://sapsma.xxxxx.xxx:8077/sap/bc/ping?sap-client=000(客户端000 )我立即进入客户端000,而不必提供任何用户或密码数据。
如果我签入SM20审核日志,我会看到:
001 ADMIN SAPMHTTPLogon成功(类型= H,方法= P)
000 ADMIN SAPMHTTPLogon成功(类型= H,方法= P)
我们在STRUSTSSO2中没有任何ACL数据,如果我先请求http://sapsma.xxxxx.xxx:8077/sap/bc/ping?sap-client=000,然后再请求http://sapsma.xxxxx, .xxx:8077/sap/bc/ping?sap-client = 001两种情况下,我必须输入用户名和密码才能在每个客户端中访问
对此行为有任何解释吗?
此致
伊斯梅尔
我已经确定了导致"奇怪"行为的各种情况的组合。
谢谢。
伊斯梅尔
一周热门 更多>