VULHUB ™

WebIntelligence应用程序是一款面向商务对象应用服务器的WEB接口，使用HTTPS和Cookie跟踪用户会话。 WebIntelligence应用程序在处理会话Cookie时存在问题，远程攻击者可以利用这个漏洞猜测会话Cookie和使用此信息劫持其他用户会话。 WebIntelligence服务程序对每个会话分配一个Cookie进行会话跟踪，每当用户使用浏览器连接使会接收到会话IDCOOKIE，然后如果用户验证成功，WebIntelligence服务程序就在服务器端标记此会话为\'\'认证过会话\'\'。 在同一会话中，用户浏览器持续发送Cookie到服务器，这就保证用户不需要输入任何密码来进行验证，因此如果攻击者成功窃取或猜测出用户ID COOKIE ，攻击者可以就查看其他用户任何信息，如邮箱信息，用户执行操作等。根据报告，WebIntelligence服务程序使用的会话COOKIE ID可被容易地猜测到。

WebIntelligence应用程序是一款面向商务对象应用服务器的WEB接口，使用HTTPS和Cookie跟踪用户会话。 WebIntelligence应用程序在处理会话Cookie时存在问题，远程攻击者可以利用这个漏洞猜测会话Cookie和使用此信息劫持其他用户会话。 WebIntelligence服务程序对每个会话分配一个Cookie进行会话跟踪，每当用户使用浏览器连接使会接收到会话IDCOOKIE，然后如果用户验证成功，WebIntelligence服务程序就在服务器端标记此会话为\'\'认证过会话\'\'。 在同一会话中，用户浏览器持续发送Cookie到服务器，这就保证用户不需要输入任何密码来进行验证，因此如果攻击者成功窃取或猜测出用户ID COOKIE ，攻击者可以就查看其他用户任何信息，如邮箱信息，用户执行操作等。根据报告，WebIntelligence服务程序使用的会话COOKIE ID可被容易地猜测到。