Paramètres de sécurisation renforcée mis à jour pour la version de base de référence 4.0

  • Rversion finale: Australia
  • Mis à jour 16 juin 2026
  • 26 minutes de lecture

    • Certains paramètres de sécurisation renforcée ont été mis à jour avec la sortie de la version de base de Centre de sécurité référence 4.0.

    La version de base 4.0 inclut plusieurs mises à jour des brèves descriptions pour le style et la cohérence entre les enregistrements. En outre, de nombreux scripts liés à la propriété ont également été mis à jour pour améliorer la précision de la valeur par défaut pour les tickets où la propriété a été supprimée de la table sys_property.

    Documentation Mises à jour
    Exiger une autorisation pour les demandes SOAP
    • Nouveau nom de la configuration technique : glide.basicauth.required.soap, glide.soap.require_ws_security
    • Ancien nom de la configuration technique : glide.basicauth.required.soap
    • Nouvelle description : la propriété glide.basicauth.required.soap Glide contrôle si l’authentification de base est requise pour effectuer une demande SOAP à une instance. Si glide.basicauth.required.soap elle n’est pas définie sur la valeur conseillée true, les utilisateurs non authentifiés effectuant des opérations SOAP seront mappés à l’utilisateur soap.guest. Cela peut permettre à un utilisateur non authentifié d’effectuer des opérations sur l’instance comme s’il s’agissait d’un utilisateur connecté à l’instance. Il peut y avoir un impact supplémentaire si l’utilisateur défini dans com.glide.soap.guest_user se voit attribuer des rôles supplémentaires.
    • Ancienne description : la propriété glide.basicauth.required.soap Glide contrôle si l’authentification est requise pour effectuer une demande SOAP à une instance. S’il glide.basicauth.required.soap n’est pas défini sur la valeur recommandée true, l’authentification est alors désactivée pour les demandes SOAP sur l’instance. Il permet un accès non authentifié aux opérations de niveau administrateur ou maintenance ; annulant ainsi les contrôles de sécurité au sein de l’instance.
    • Nouveau rattrapage : assurez-vous que la propriété glide.basicauth.required.soap est définie sur la valeur true. Vous pouvez également configurer l’instance pour la sécurité WS en définissant la propriété glide.soap.require_ws_security sur true et en suivant la documentation du produit pour configurer les profils de sécurité WS.
    • Ancien rattrapage : assurez-vous que la propriété glide.basicauth.required.soap existe dans la table sys_properties et qu’elle est définie sur vrai.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Script Jelly d’échappement [mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : cette propriété échappe à toutes les chaînes JS et HTML incluses avant qu’elles ne soient écrites dans le flux de sortie, empêchant ainsi plusieurs problèmes XSS de se produire. Si glide.ui.escape_all_script n’est pas défini sur la valeur recommandée true, l’échappement des scripts injectés dans Jelly est désactivé. Sans cette atténuation, la plateforme devient largement ouverte à une variété d’attaques par injection de script. Un attaquant pourrait exécuter des scripts Rhino arbitraires sur l’instance.
    • Ancienne description : La propriété suivante échappe toutes les chaînes JS et HTML incluses dans <j :jelly> ... </j :jelly> avant qu’elles ne soient écrites dans le flux de sortie, empêchant ainsi plusieurs problèmes XSS de se produire. Si glide.ui.escape_all_script n’est pas défini sur la valeur recommandée « vrai », l’échappement des scripts injectés dans Jelly est désactivé. Sans cette atténuation, la plateforme devient largement ouverte à une variété d’attaques par injection de script. Un attaquant pourrait exécuter des scripts Rhino arbitraires sur l’instance.
    Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description courte : Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF
    • Ancienne description courte : Appliquer la validation stricte du jeton CSRF
    • Nouvelle description : cette propriété empêche les utilisateurs d’accepter un avertissement permettant d’envoyer une demande potentiellement malveillante à l’instance. Cet avertissement s’affiche lorsqu’une requête POST échoue en raison d’un jeton anti-CSRF non correspondant appartenant à l’une des autres sessions actives de la victime. S’il glide.security.csrf.strict.validation.mode n’est pas défini sur la valeur recommandée true, un attaquant peut formuler une attaque CSRF à l’aide d’un jeton anti-CSRF divulgué d’une autre session active appartenant à la victime. Une demande POST à une instance contient un jeton anti-CSRF dans sysparm_ck ou X-UserToken qui correspond à la session actuelle de l’utilisateur. Si le jeton anti-CSRF est plutôt lié à l’une des autres sessions actives de l’utilisateur, la demande POST renvoie une redirection 302 vers security_interceptor.do avec un bouton Continuer disponible pour l’utilisateur lorsque cette propriété est définie sur faux. Un clic sur ce bouton soumet à nouveau la demande à l’instance, sauf qu’elle dispose désormais d’un jeton anti-CSRF valide. Lorsque cette propriété est définie sur vrai, la redirection 302 vers la page security_interceptor.do n’affiche pas de bouton Continuer et l’utilisateur n’est pas autorisé à soumettre à nouveau la demande. Une attaque CSRF réussie permettra à un attaquant d’effectuer efficacement toute opération que la victime est capable d’effectuer.
    • Ancienne description : cette propriété active la validation stricte des jetons CSRF, ce qui empêche la réutilisation des jetons CSRF. S’il glide.security.csrf.strict.validation.mode n’est pas défini sur la valeur recommandée true, les jetons CSRF peuvent être réutilisés, ce qui ouvre la porte à des attaques CSRF.
    • Nouveau score CVSS : 3,7
    • Ancien score CVSS : 3,1
    Exiger l’authentification sur le processeur HTTP Gestion des événements [nouveau dans Centre de sécurité 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0]
    • Nouvelle description courte : Exiger une authentification sur le processeur HTTP de Gestion des événements
    • Ancienne description courte : Exiger l’authentification sur le processeur HTTP de Gestion des événements
    Activer le jeton anti-CSRF [nouveau dans Centre de sécurité 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0]
    • Nouvelle description : la contrefaçon de requête intersite (CSRF) est une attaque qui force les utilisateurs authentifiés à soumettre une demande à une application Web auprès de laquelle ils sont actuellement authentifiés. Les attaques CSRF exploitent la confiance qu’une application Web accorde à un utilisateur authentifié. Cette propriété active l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. Si glide.security.use_csrf_token la valeur recommandée n’est pas définie sur true, CSRF est possible.
    • Ancienne description : la contrefaçon de requête intersite (CSRF) est une attaque qui force les utilisateurs authentifiés à soumettre une demande à une application Web auprès de laquelle ils sont actuellement authentifiés. Les attaques CSRF exploitent la confiance qu’une application Web accorde à un utilisateur authentifié. Cette propriété active l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. Si glide.security.use_csrf_token la valeur recommandée n’est pas définie sur true, CSRF est possible.
    Activer l'assainisseur HTML dans Agent virtuel
    • Nouvelle description courte : Activer l’assainisseur HTML dans Agent virtuel
    • Ancienne description courte : Activer l’assainisseur HTML
    • Nouvelle description : cette propriété contrôle si HtmlSanitizerService est activé. Si com.glide.cs.html.sanitizer.enabled la valeur n’est pas définie sur vrai, une attaque de script de site à site stocké (XSS) est possible dans le client Web VA.
    • Ancienne description : Cette propriété contrôle si HTMLSanitezerService est activé. Si com.glide.cs.html.sanitizer.enabled la valeur n’est pas définie sur vrai, une attaque de script de site à site stocké (XSS) est possible dans le client Web VA.
    Refuser l’accès interne aux rôles externes explicites [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouveau nom de la configuration technique : glide.security.explicit_roles.enable_internal_user_blacklist
    • Ancien nom de la configuration technique : glide.security.explicit_roles.enable_internal_user_blacklist,glide.security.explicit_roles.internal_user_blacklist
    • Nouvelle description : cette propriété empêche d’affecter le rôle de snc_internal à des utilisateurs externes. Lorsque glide.security.explicit_roles.enable_internal_user_blacklist est défini sur la valeur recommandée true, il applique les paramètres de maint-protected glide.security.explicit_roles.internal_user_blacklist property qui affecte le rôle snc_external à une liste de classes d’utilisateurs non approuvés. Si la valeur est définie sur faux, la glide.security.explicit_roles.internal_user_blacklist propriété est ignorée. Une mauvaise configuration de cette propriété augmente le risque qu’un compte utilisateur externe accède aux informations internes.
    • Ancienne description : empêche d’affecter le rôle de snc_internal à des utilisateurs externes. Si glide.security.explicit_roles.enable_internal_user_blacklist elle n’est pas définie sur la valeur conseillée vrai et que la glide.security.explicit_roles.internal_user_blacklist propriété n’est pas définie sur une liste de classes d’utilisateurs non approuvés, les rôles spécifiés peuvent se voir affecter le rôle snc_internal au lieu du rôle snc_external. Si la liste est vide, tous les utilisateurs se verront affecter le rôle snc_internal par défaut. La propriété doit contenir au moins les rôles par défaut csm_consumer_user, customer_contact.

      Une mauvaise configuration de ces propriétés augmente le risque qu’un compte d’utilisateur externe accède aux informations internes.

    • Nouveau rattrapage : assurez-vous que la propriété glide.security.explicit_roles.enable_internal_user_blacklist est définie sur vrai.
    • Ancien rattrapage : assurez-vous que la propriété glide.security.explicit_roles.enable_internal_user_blacklist est définie sur vrai et que la propriété glide.security.explicit_roles.internal_user_blacklist inclut les éléments dangereux csm_consumer_user, customer_contact.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Exiger une autorisation pour la demande WSDL
    • Nouvelle description : si glide.basicauth.required.wsdl la valeur recommandée n’est pas définie sur true, cela désactive l’authentification de base pour les demandes WSDL. WSDL est un protocole utilisé pour décrire les services Web tels que des schémas de table d’instance, et n’est pas un mécanisme de partage des données au sein de tables. Définir cette propriété sur vrai permet la divulgation des schémas de table aux utilisateurs non authentifiés.
    • Ancienne description : si glide.basicauth.required.wsdl elle n’est pas définie sur la valeur conseillée true, l’authentification de base pour les demandes WSDL est alors désactivée. Cela peut entraîner la divulgation d’informations à des utilisateurs non authentifiés.
    • Nouveau score CVSS : 5,3
    • Ancien score CVSS : 4,3
    Appliquer la vérification de la liste d’autorisations d’URL Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Définir les types MIME téléchargeables restreints [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouvelle description courte : Définir les types MIME téléchargeables restreints
    • Ancienne description courte : Restreindre les types MIME téléchargeables
    • Nouvelle description : si glide.ui.attachment.download_mime_types elle contient des éléments dangereux tels que text/html, image/svg, image/svg+xml, application/xml, les fichiers dangereux pourraient être affichés en ligne dans le navigateur, ce qui pourrait entraîner des attaques de script Cross Sitte (XSS). Cette propriété correspond à la liste des types MIME de pièce jointe séparés par des virgules qui ne seront pas affichés en ligne dans le navigateur. Par exemple, l’inclusion de text/html forcera le téléchargement des fichiers HTML vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. Une gestion correcte de cette liste évite les attaques de script de site à site.
    • Ancienne description : si glide.ui.attachment.download_mime_types elle contient des éléments dangereux tels que text/html,image/svg,image/svg+xml,application/xml, les fichiers dangereux pourraient être affichés en ligne dans le navigateur, ce qui pourrait entraîner des attaques de script Cross Sitte (XSS). Cette propriété correspond à la liste des types MIME de pièce jointe séparés par des virgules qui ne seront pas affichés en ligne dans le navigateur. Par exemple, l’inclusion de text/html forcera le téléchargement des fichiers html vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. Une gestion correcte de cette liste évite les attaques de script de site à site.
    HTML d’échappement dans les vues de listes [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description : cette propriété permet de nettoyer l’affichage en vue liste des champs HTML. Si glide.ui.escape_html_list_field la valeur recommandée n’est pas true, un utilisateur malveillant peut injecter du code HTML dans le champ de formulaire pour exécuter des scripts indésirables sur différentes sessions client/utilisateur. Cela pourrait potentiellement être exploité par des attaquants pour voler des informations de session et des données sensibles.
    • Ancienne description : La propriété suivante permet de nettoyer l’affichage en vue liste des champs HTML. Si glide.ui.escape_html_list_field la valeur recommandée n’est pas true, un utilisateur malveillant peut injecter du code HTML dans le champ de formulaire pour exécuter des scripts indésirables sur différentes sessions client/utilisateur. Cela pourrait potentiellement être exploité par des attaquants pour voler des informations de session et des données sensibles.
    Restreindre les domaines d’e-mail pour l’inscription des utilisateurs externes [Mis à jour dans le Centre de sécurité 1.3, 1.5 et 2.0]
    • Nouvelle description courte : Restreindre les domaines d’e-mail pour l’inscription des utilisateurs externes
    • Ancienne description courte : Restreindre les domaines d’e-mail pour l’inscription des utilisateurs externes (Applicabilité du module d’extension : inscription de l’utilisateur externe)
    • Nouvelle description : la sn_ext_usr_reg.allowed_email_domains propriété définit les adresses e-mail autorisées à s’auto-enregistrer sur une instance ServiceNow. S’il sn_ext_usr_reg.allowed_email_domains n’est pas défini avec une liste de domaines acceptables, les utilisateurs avec n’importe quelle adresse e-mail sont autorisés à enregistrer des comptes sur les instances. Si cette propriété n’est pas définie, les acteurs malveillants peuvent effectuer l’enregistrement à l’aide d’adresses e-mail de domaines indésirables pour obtenir un accès authentifié à l’instance.
    • Ancienne description : S’il sn_ext_usr_reg.allowed_email_domains n’est pas défini avec une liste blanche de domaines acceptables, les acteurs malveillants peuvent effectuer l’enregistrement en utilisant des adresses e-mail de domaines indésirables.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Activer CAPTCHA pour l’inscription de l’utilisateur externe
    • Nouvelle description courte : Activer le Captcha pour l’inscription de l’utilisateur externe
    • Ancienne description courte : Activer le Captcha pour l’inscription de l’utilisateur externe (Applicabilité du module d’extension : inscription de l’utilisateur externe)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection
    Minimiser la durée d’expiration du lien d’inscription de l’utilisateur externe
    • Nouvelle description courte : Minimiser la durée d’expiration du lien d’Inscription de l’utilisateur externe
    • Ancienne description courte : Minimiser la durée d’expiration du lien d’Inscription de l’utilisateur externe (Applicabilité du module d’extension : Inscription de l’utilisateur externe)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection
    Désactiver le téléchargement des fichiers infectés
    • Nouvelle description courte : Interdire le téléchargement des fichiers infectés
    • Ancienne description courte : Désactiver le téléchargement des fichiers infectés
    • Nouveau rattrapage : assurez-vous que la propriété com.glide.snap.infected_download_allowed est définie sur False.
    • Ancien rattrapage : assurez-vous que la propriété com.glide.snap.infected_download_allowed est définie sur Vrai.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Valider le type MIME de fichier dans le service web AttachmentCreator SOAP [Nouveau dans Centre de sécurité 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description : si glide.attachment.enforce_security_validation la valeur n’est pas définie sur la valeur conseillée, vrai, il n’y aura aucune validation pour les pièces jointes de type MIME et des fichiers dangereux pourraient être téléchargés sur le système en utilisant des extensions de fichier incorrectes. Lorsque cette propriété est définie sur vrai, les fichiers sont chargés avec l’extension de type de fichier correcte. Une bonne pratique de sécurité consiste à valider les chargements de fichiers au moins avec la validation de type MIME.
    • Ancienne description : si glide.attachment.enforce_security_validation la valeur n’est pas définie sur la valeur conseillée Vrai, il n’y aura aucune validation pour les pièces jointes de type MIME et des fichiers dangereux pourraient être téléchargés sur le système en utilisant des extensions de fichier incorrectes. Lorsque cette propriété est définie sur vrai, les fichiers sont chargés avec l’extension de type de fichier correcte. Une bonne pratique de sécurité consiste à valider les chargements de fichiers au moins avec la validation de type MIME.
    • Nouveau rattrapage : assurez-vous que la propriété glide.attachment.enforce_security_validation est définie sur vrai.
    • Ancien rattrapage : assurez-vous que la propriété glide.attachment.enforce_security_validation est définie sur Vrai.
    Désactiver le débogage MultiSSO
    • Nouvelle description courte : Désactiver le débogage MultiSSO
    • Ancienne description courte : Désactiver le débogage MultiSSO (Applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Réduire le champ d’application de la liste d’autorisation d’adresses IP pour une instance
    • Nouveau nom de la configuration technique : glide.ip.authenticate.strict
    • Ancien nom de la configuration technique : glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
    • Nouvelle description : si glide.ip.authenticate.strict la valeur est définie sur vrai, le personnel et les systèmes internes ServiceNow ne peuvent établir des connexions entrantes vers l’instance qu’à partir des plages IP essentielles. Cela limite la visibilité de ServiceNow sur l’instance pour l’infrastructure interne essentielle et empêche l’accès par un personnel ServiceNow plus large, comme le personnel de support et de vente, via les réseaux de l’entreprise. Lorsqu’elle est définie sur « vrai », la glide.ip.authenticate.allow propriété est utilisée pour accorder des connexions entrantes ServiceNow internes. Si elle n’est pas définie sur vrai, une plage d’adresses IP internes ServiceNow plus large, telle que définie dans glide.ip.authenticate.allow est utilisée pour accorder les connexions entrantes ServiceNow internes.
    • Ancienne description : si glide.ip.authenticate.strict la valeur est définie sur vrai, seules les plages IP spécifiées peuvent glide.ip.authenticate.allow.secured établir des connexions entrantes à l’instance. Cette propriété contient uniquement une liste des plages IP internes ServiceNow essentielles (VPN sécurisé, DC). Si glide.ip.authenticate.allow.secured n’est pas défini sur la valeur ou la permutation recommandée de « 10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1 » ou la liste de valeurs plus récente « 10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1 » qui ajoute IPv6 localhost à l’Utah, alors il peut autoriser des sources non fiables en dehors de SN DataCenter et du VPN sécurisé d’accéder à des sources sensibles Surveillance des points de terminaison sur les instances.
    • Nouveau rattrapage : assurez-vous que la propriété glide.ip.authenticate.allow.secured contient uniquement des valeurs fiables et que la propriété glide.ip.authenticate.strict est définie sur vrai.
    • Ancien rattrapage : assurez-vous que la propriété glide.ip.authenticate.allow.secured contient uniquement des valeurs dans « 10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1 » et que la propriété glide.ip.authenticate.strict est définie sur vrai.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Désactiver l'expansion des entités dans l'analyseur de diffusion en continu XMLDocument2
    • Nouvelle description courte : Désactiver l’expansion des entités dans l’analyseur de diffusion en continu XMLDocument2
    • Ancienne description courte : Désactiver l’expansion des entités
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Appliquer Séparation de domaine sur les champs de type « remontée pas à pas »
    • Nouvelle description courte : Appliquer Séparation en domaines sur les champs de type « remontée pas à pas »
    • Ancienne description courte : Appliquer la séparation en domaines sur les champs de type « remontée pas à pas » (applicabilité du module d’extension : Séparation de domaine)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Restreindre les autorisations pour le modèle CMDB Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Exiger l’effacement du presse-papiers lors de l’affichage l’application mobile en arrière-plan
    • Nouvelle description : la glide.sg.clear_pasteboard_when_backgrounded propriété contrôle si le texte copié à partir de l’application mobile ServiceNow est conservé dans le presse-papiers une fois que l’application n’est plus en mode arrière-plan. Si elle n’est pas définie sur la valeur conseillée true, les informations sensibles peuvent être divulguées au presse-papiers Android ou iOS, où elles peuvent être exposées aux autres applications de l’appareil.
    • Ancienne description : la propriété glide.sg.clear_pasteboard_when_backgrounded contrôle si le texte copié à partir de l’application mobile ServiceNow est conservé dans le presse-papiers une fois que l’application n’est plus active. Si elle n’est pas définie sur la valeur conseillée true, les informations sensibles peuvent être divulguées au presse-papiers Android ou iOS, où elles peuvent être exposées aux autres applications de l’appareil.
    Activer la récupération de compte
    • Nouvelle description brève : Activer la récupération de compte
    • Ancienne description courte : Activer la récupération de compte (applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Désactiver les messages d’erreur SQL
    • Nouvelle description : si glide.db.loguser elle n’est pas définie sur la valeur recommandée faux, des messages d’erreur sensibles côté serveur peuvent être affichés aux utilisateurs finaux. Les messages d’erreur peuvent inclure des traces de pile et des informations sur la structure de la base de données qui pourraient fournir à un attaquant les connaissances nécessaires pour effectuer une injection SQL réussie si les conditions préalables sont réunies. Dans le cadre d’une défense en profondeur, ces messages d’erreur ne doivent pas être affichés à l’utilisateur final.
    • Ancienne description : si glide.db.loguser elle n’est pas définie sur la valeur recommandée faux, des messages d’erreur sensibles côté serveur peuvent être affichés aux utilisateurs finaux.
    Renforcer les liens relatifs
    • Nouvelle description : la glide.cms.catalog_uri_relative propriété applique des liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si glide.cms.catalog_uri_relative elle n’est pas définie sur la valeur conseillée true, l’URL n’est pas assainie avec la fonction enforceRelativeURL(url). Les URL absolues peuvent représenter un risque de sécurité lorsqu’elles sont utilisées dans le cadre d’un paramètre ou d’une valeur de champ, redirigeant ainsi la page source vers un site Web contrôlé par un adversaire. Cette propriété impacte le système de gestion du contenu (CMS) qui a été remplacé par Portail de services.
    • Ancienne description : la glide.cms.catalog_uri_relative propriété applique des liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si glide.cms.catalog_uri_relative elle n’est pas définie sur la valeur conseillée true, l’URL n’est pas assainie avec la fonction enforceRelativeURL(url). Les URL absolues peuvent représenter un risque de sécurité lorsqu’elles sont utilisées dans le cadre d’un paramètre ou d’une valeur de champ, redirigeant ainsi la page source vers un site Web contrôlé par un adversaire.
    Minimiser le seuil d'expansion des entités pour GlideXMLUtil pouvant contenir des scripts
    • Nouvelle description courte : Minimiser le seuil d’expansion des entités pour GlideXMLUtil pouvant contenir des scripts
    • Ancienne description courte : Minimiser le seuil d’expansion des entités
    • Nouvelle description : cette propriété contrôle la quantité maximale d’expansion d’entité dans un analyseur XML. Si glide.xmlutil.max_entity_expansion elle n’est pas définie sur la valeur conseillée de 3 000 ou moins, le script d’analyse GlideXMLUtil peut être vulnérable aux attaques par déni de service.
    • Ancienne description : cette propriété contrôle la quantité maximale d’expansion d’entité dans un analyseur XML. S’il glide.xmlutil.max_entity_expansion n’est pas défini sur la valeur recommandée de 3 000 ou moins, l’analyseur XML peut être vulnérable aux attaques par déni de service.
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Désactiver le comportement hérité de clôture du champ d'application GlideRecord
    • Nouvelle description : GlideRecord fournissait un accès de création/mise à jour entre périmètres aux tables qui n’étaient pas configurées avec ce niveau d’accès. La propriété glide.record.legacy_cross_scope_access_policy_in_script a été créée afin d’éviter que les clients aient des applications en panne lorsque ce comportement d’accès inclus dans le champ d’application a été corrigé. Lorsque la valeur est vrai, l’accès entre périmètres revient au comportement hérité (non sécurisé). Cette propriété désactive la clôture des périmètres, ce qui permet aux applications incluses dans le périmètre d’accéder aux interfaces de script globales. Il est recommandé d’avoir des restrictions de clôture de champ d’application en place. La définition du périmètre garantit que les applications ne peuvent accéder aux ressources qu’avec un accès explicite ou dans leur champ d’application, conformément au principe du moindre privilège. La désactivation de cette fonctionnalité peut entraîner des impacts sur la confidentialité, la disponibilité et l’intégrité.
    • Ancienne description : le comportement hérité fournissait l’accès à la création/mise à jour des tables qui ne le permettait pas. Afin d’éviter que les applications des clients hérités ne soient interrompues lors de la modification de ce comportement d’accès inclus dans le périmètre, la propriété glide.record.legacy_cross_scope_access_policy_in_script a été créée. Lorsque la valeur est vrai, l’accès entre périmètres revient au comportement hérité (non sécurisé). Cette propriété désactive la clôture des périmètres, ce qui permet aux applications incluses dans le périmètre d’accéder aux interfaces de script globales. Il est recommandé d’avoir des restrictions de clôture de champ d’application en place. La définition du périmètre garantit que les applications ne peuvent accéder aux ressources qu’avec un accès explicite ou dans leur champ d’application, conformément au principe du moindre privilège. La désactivation de cette fonctionnalité peut entraîner des impacts sur la confidentialité, la disponibilité et l’intégrité.
    Activer SSL dans l’authentification LDAP [Mis à jour dans Centre de sécurité 1.5 et 2.0] Le script a été mis à jour pour améliorer la précision de la détection.
    Appliquer la réinitialisation du mot de passe aux demandes d’API Le script a été mis à jour pour améliorer la précision de la détection.
    Ne pas appliquer la politique de mot de passe lors de la connexion [Mis à jour dans le Centre de sécurité 1.5 et supprimé dans la version 2.0]

    • Nouvelle description : en définissant la propriété glide.apply.password_policy.on_login sur Faux, il n’y aura pas d’application de la complexité du mot de passe au moment de la connexion. Définir la propriété sur Vrai renforce la complexité du mot de passe et entraîne des problèmes de conformité à la politique de l’organisation.

      Selon les recommandations de l’ASVS 4.03 v2.1.9 :

      Vérifiez qu’il n’existe aucune règle de composition de mot de passe limitant le type de caractères autorisé. Il ne devrait pas y avoir d’exigence de majuscules ou de minuscules, de chiffres ou de caractères spéciaux. (C6)

      Au lieu d’appliquer la complexité du mot de passe, l’ASVS recommande d’appliquer une longueur minimale de 12 caractères pour la longueur du mot de passe.

      Réf : authentification OWASP ASVS v4.0

    • Ancienne description :

      Si vous définissez la propriété glide.apply.password_policy.on_login sur Faux, il n’y a pas d’application de la complexité du mot de passe au moment de la connexion. Définir la propriété sur Vrai renforce la complexité du mot de passe et entraîne des problèmes de conformité à la politique de l’organisation.

      Selon les recommandations de l’ASVS 4.03 v2.1.9 :

      Vérifiez qu’il n’existe aucune règle de composition de mot de passe limitant le type de caractères autorisé. Il ne devrait pas y avoir d’exigence de majuscules ou de minuscules, de chiffres ou de caractères spéciaux. (C6)

      Au lieu d’appliquer la complexité du mot de passe, l’ASVS recommande d’appliquer une longueur minimale de 12 caractères pour la longueur du mot de passe.

      Réf : authentification OWASP ASVS v4.0
    Ne pas utiliser de certificats de démonstration pour les configurations SAML actives
    • Nouvelle description brève : Ne pas utiliser de certificats de démonstration pour les configurations SAML actives
    • Ancienne description courte : Ne pas utiliser de certificats de démonstration pour les configurations SAML actives (Applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Minimiser la durée de contrainte SAML notBefore ou notOnOrAfter [Mis à jour dans Centre de sécurité 1.3 et 1.5]
    • Nouvelle description courte : Minimiser la durée de contrainte SAML « notBefore » ou « notOnOrAfter »
    • Ancienne description courte : Minimiser la durée de contrainte SAML « notBefore » ou « notOnOrAfter » (applicabilité du module d’extension : authentification unique de plusieurs fournisseurs)
    Bloquer les jetons anti-CSRF expirés
    • Nouvelle description courte : Bloquer les jetons anti-CSRF expirés
    • Ancienne description courte : Bloquer les jetons CSRF expirés
    Exiger CAPTCHA pour l’expérience de visite des invités dans l’application Service clientèle
    • Nouvelle description courte : Exiger un Captcha pour l’expérience de visite d’un invité dans l’application Service clientèle
    • Ancienne description courte : Exiger un Captcha pour l’expérience de visite des invités dans l’application Service clientèle (Applicabilité du module d’extension : Expérience de visite des invités pour Service clientèle)
    Vérifier l’emprunt d’identité dans l’évaluation ACL de l’application RH [nouveau dans le Centre de sécurité 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description brève : vérifier l’emprunt d’identité dans l’évaluation ACL de l’application RH
    • Ancienne description courte : Vérifier l’emprunt d’identité dans l’évaluation ACL de l’application RH (applicabilité du module d’extension : application dans le champ d’application de Ressources humaines)
    Restreindre les mises à jour des tickets RH à partir d’e-mails personnels
    • Nouvelle description courte : Restreindre les mises à jour des tickets RH à partir d’e-mails personnels
    • Ancienne description courte : Restreindre les mises à jour des tickets RH à partir d’e-mails personnels (module d’extension Applicabilité : application dans le champ d’application de Ressources humaines)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Activer le journal d’audit MID
    • Nouvelle description brève : Activer le journal d’audit MID
    • Ancienne description courte : Activer le journal d’audit MID (Applicabilité du module d’extension : Serveur MID)
    Instanciateurs de connexions JMS requis
    • Nouvelle description brève : instanciateurs de connexions JMS requis
    • Ancienne description courte : instanciateurs de connexions JMS requis (applicabilité du module d’extension : serveur MID)
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Limiter la taille des pièces jointes dans les flux de formation et de prédiction [nouveau dans le Centre de sécurité 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description courte : Limiter la taille des pièces jointes dans les flux de formation et de prédiction
    • Ancienne description courte : Limiter la taille des pièces jointes dans les flux de formation et de prédiction (applicabilité du module d’extension : intelligence documentaire de la plateforme)
    Assurez-vous que les ACL de table d’archivage sont vérifiées Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Consigner les événements d’audit de session
    • Nouvelle description : lorsque la propriété glide.authenticate.session_access.log_audit_event Glide est définie sur vrai, les événements d’audit de session sont créés dans la table sys_session_access_audit. Il est recommandé de consigner des informations sur l’accès à la session pour faciliter les enquêtes sur les acteurs malveillants. Les informations consignées comprennent l’utilisateur, l’ID de session (non sensible), l’adresse IP, les rôles et les politiques.
    • Ancienne description : lorsque la propriété glide.authenticate.session_access.log_audit_event Glide est définie sur vrai, les événements d’audit de session sont créés dans la table sys_session_access_audit. Il est recommandé de consigner des informations générales sur l’accès à la session pour faciliter les enquêtes sur les acteurs malveillants. Les informations consignées comprennent l’utilisateur, l’ID de session (non sensible), l’adresse IP, les rôles et les politiques.
    Appliquer l’accès ACL inclus dans le champ d’application pour les playbooks de demande d’informations [nouveau dans Centre de sécurité 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description courte : Appliquer l’accès ACL inclus dans le champ d’application pour les Information Request Playbooks
    • Ancienne description courte : Appliquer l’accès ACL inclus dans le champ d’application pour les Information Request Playbooks
    • Script de règle : le script a été mis à jour pour améliorer la précision de la détection.
    Invalider de manière proactive les sessions après des durées définies
    • Nouvelle description : la propriété glide.active.session.timeout.invalidate.session Glide contrôle si une session expirée est invalidée de manière proactive avant que le conteneur Tomcat n’invalide la session. Lorsque cette propriété n’est pas définie sur vrai, il peut y avoir un petit intervalle de temps où une session expirée n’est pas invalidée (+ de 60 secondes, selon la taille de la file d’attente). Si une session est détournée, un attaquant peut être en mesure d’utiliser une session pendant cette courte période.
    • Ancienne description : la propriété glide.active.session.timeout.invalidate.session Glide contrôle si une session de délai d’expiration est invalidée de manière proactive avant le conteneur Tomcat. Lorsque cette propriété n’est pas définie sur vrai, il peut y avoir un petit intervalle de temps où une session expirée n’est pas invalidée (+ de 60 secondes, selon la taille de la file d’attente). Si une session est détournée, un attaquant peut être en mesure d’utiliser une session pendant cette courte période.
    Limiter la taille du corps de la réponse HTTP [nouveau dans Centre de sécurité 1.3 et mis à jour dans la version 1.5]
    • Nouvelle description courte : Limiter la taille du corps de la réponse HTTP
    • Ancienne description courte : S’assurer que les réponses HTTP ne déclenchent pas d’exception OutofMemory en raison de la taille du corps de la réponse