BO 4.1中的跨站点请求伪造(CSRF)缺陷

2020-08-16 13:15发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我们正在使用Veracode工具检查安全漏洞。 扫描时,我们得到了一个高优先级的CSRF缺陷,即JSESSIONID cookie没有设置SameSite属性。 使用此属性,可以通过限制将cookie发送到站点的时间来防止跨站点请求伪造(CSRF)攻击。 CSRF攻击是一类混淆的副攻击,它们利用浏览器始终在请求中发送授权cookie的行为。


在搜索CSRF缺陷的解决方案时,我们获得了SAP注意:2893546。

请注意,该注意2893546是否适用于Buisness Object应用程序。 如果是,那么请让我知道步骤,如何执行?

谢谢

Shivkumar

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我们正在使用Veracode工具检查安全漏洞。 扫描时,我们得到了一个高优先级的CSRF缺陷,即JSESSIONID cookie没有设置SameSite属性。 使用此属性,可以通过限制将cookie发送到站点的时间来防止跨站点请求伪造(CSRF)攻击。 CSRF攻击是一类混淆的副攻击,它们利用浏览器始终在请求中发送授权cookie的行为。


在搜索CSRF缺陷的解决方案时,我们获得了SAP注意:2893546。

请注意,该注意2893546是否适用于Buisness Object应用程序。 如果是,那么请让我知道步骤,如何执行?

谢谢

Shivkumar

付费偷看设置
发送
1条回答
打一壶酱油
1楼-- · 2020-08-16 13:25

这不适用于Business Objects。
如果要解决此问题-您需要升级到该产品的当前版本。

4.1太旧。

您应该查看的KBA和注释:
https://launchpad.support.sap.com/#/notes/1475602
https://launchpad.support.sap.com/#/notes/2403010

https://launchpad.support.sap.com/#/notes/2817241

https://launchpad.support.sap.com/#/notes/2658113

一周热门 更多>