Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1.3]

Sicherheit der Washington DC-Plattform

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Sicherheit der Washington DC-Plattform

ft:clusterId

psec

bundleId

psec

workflow

Platform

Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1.3]

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

1 Minute Lesedauer

Die Eigenschaft glide.active.session.timeout.invalidate.session steuert, ob eine Zeitüberschreitungssitzung vor dem Tomcat-Server proaktiv für ungültig erklärt wird.

Wenn glide.active.session.timeout.invalidate.session nicht auf truefestgelegt ist, kann es ein kurzes Zeitintervall geben, in dem eine Sitzung mit Zeitüberschreitung nicht für ungültig erklärt wird (60 oder mehr Sekunden, abhängig von der Warteschlangengröße). Wenn eine Sitzung angegriffen wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise eine Sitzung verwenden. Um dieses Sicherheitsrisiko zu beheben, legen Sie glide.active.session.timeout.invalidate.session auf truefest.

Weitere Informationen


Attribut	Beschreibung
Konfigurationsname	glide.active.session.timeout.invalidate.session
Konfigurationstyp	Systemeigenschaften (/sys_properties_list.do)
Datentyp	boolean
Empfohlener Wert	Wahr
Standardwert	false
Kategorie	Sitzungsverwaltung
Sicherheitsrisiko	Schweregradpunktzahl: 4,6 CVSS-Punktzahl: Mittel Details zum Sicherheitsrisiko: Wenn diese Eigenschaft nicht auf den empfohlenen Wert „wahr“ festgelegt wird, kann dies dazu führen, dass eine Sitzung mit Zeitüberschreitung nicht validiert wird. Dies erhöht die Wahrscheinlichkeit, dass ein böswilliger Akteur eine Sitzung übernimmt.
Abhängigkeiten und Voraussetzungen	Keine