스캔 엔진 정의: 보안
스캔 엔진 보안 정의는 인스턴스 전체의 ServiceNow 프로토콜 구현을 측정하여 무단 액세스, 데이터 침해, 사이버 공격 및 잠재적인 취약성을 방지합니다.
호주 정의
다음 보안 정의가 Australia 2026 릴리스에 추가되었습니다.
| 번호 | 활성 | 결과 수준 | 고유 ServiceNow 제품 | 간단한 설명 | 비즈니스 영향 | 해결 단계 | 지원 문서 |
|---|---|---|---|---|---|---|---|
| sn_SE10023 | 1 | Act | 스크립트는 eval() 함수를 사용해서는 안 됩니다. | 보안 위반. | 스크립트에서 함수를 eval 제거합니다. | 설명서 | |
| sn_SE10024 | 1 | Act | 스크립트는 eval() 함수를 사용해서는 안 됩니다. | 보안 위반. | 스크립트에서 함수를 eval 제거합니다. | 설명서 | |
| sn_SE10045 | 1 | Act | 높은 보안 플러그인을 사용하도록 설정해야 합니다. | 많은 보안 구성이 의도치 않게 열려 있으며, 이로 인해 일부 중요한 취약점에 대한 문이 열릴 수 있습니다. | 높은 보안 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10046 | 1 | Act | 상황별 보안: 역할 관리 V2를 사용하도록 설정해야 합니다. | 중복 기록을 제거하고 역할 상속을 시각화하는 데 도움이 됩니다. | 상황별 보안: 역할 관리 V2 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10074 | 1 | Act | 스캔 엔진은 적용 대상 테이블의 데이터를 읽을 수 있는 액세스 권한이 없습니다. | SE는 읽기 액세스 권한이 없으면 이러한 테이블에서 가능한 결과를 식별할 수 없습니다. | 테이블에 적용 기록을 제거하거나, 테이블에 대한 읽기 권한을 스캔 엔진 애플리케이션에 부여하거나, 제한된 호출자 접근을 선택하여 테이블 적용 대상 테이블 기록을 수정합니다. | ||
| sn_SE10083 | 1 | 제안 | 범위 지정된 인증: 클라이언트 호출 가능 스크립트 포함에 필요한 ACL | 사용자는 권한이 없는 데이터에 액세스할 수 있습니다. 데이터 부정확성이 발생할 수 있습니다. | 클라이언트 호출 가능 스크립트 포함 유형을 사용하여 새 ACL을 작성하고 이름 필드를 스크립트 포함 이름으로 설정합니다. 적절한 역할을 ACL에 연결합니다. | 설명서 | |
| sn_SE10085 | 1 | Act | 보안 관리자 기본 모드는 "거부"로 설정해야 합니다. | 사용자가 의도치 않게 데이터에 액세스하지 못하도록 방지합니다. | 값을 "거부"로 설정합니다. | 설명서 | |
| sn_SE10089 | 1 | 제안 | 조건 없이 UI 정책을 통해 읽기 전용으로 필드 설정 | 목록 편집을 통해 의도하지 않은 필드 업데이트가 발생할 수 있습니다. | UICTRL_0___table_name에서 읽기 전용 플래그를 field___확인합니다.field_name___UICTRL_1___t 필드를 편집할 수 있는 기준을 충족합니다. | 설명서 | |
| sn_SE10090 | 1 | 제안 | 조건 없이 UI 정책을 통해 필수로 필드 설정 | 필수 데이터가 비어 있어 비즈니스 프로세스를 계속할 수 없습니다. | 필드의 딕셔너리 기록에서 필수 플래그를 확인하여 필드를 항상 필수로 설정합니다. | 설명서 | |
| sn_SE10100 | 1 | Recommend | UI 페이지에 연결된 읽기 ACL이 있어야 합니다. | 권한이 없는 사용자는 백엔드를 통해 액세스할 수 없는 데이터를 볼 수 있습니다. | ACL 이름이 UI 페이지의 이름과 일치하는 읽기 연산으로 읽기 ACL을 작성합니다. UI 페이지에 대한 읽기 권한이 있어야 하는 읽기 ACL에 적절한 역할을 연결합니다. | 설명서 | |
| sn_SE10101 | 1 | Act | 기본 관리자 계정을 비활성화해야 합니다. | 권한이 없는 사용자는 여전히 시스템에 액세스할 수 있으며, 이로 인해 기밀 데이터 침해 및 데이터 무결성 문제가 발생할 수 있습니다. 그에 따른 비즈니스 영향은 상당하고 제한되지 않을 수 있습니다. | 관리자 계정을 비활성화하고 관리자 프로필에서 그룹 및 역할 연결을 제거합니다. | 설명서 | |
| sn_SE10146 | 1 | Act | HTML 데이터 입력은 이스케이프 기능을 사용하여 확인되어야 합니다. | 삽입 공격이 발생하여 보안 위험이 발생할 수 있습니다. | glide.ui.escape_html_list_field 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10147 | 1 | Act | Jelly 데이터 입력은 이스케이프 사용을 통해 확인되어야 합니다. | 삽입 공격이 발생하여 보안 위험이 발생할 수 있습니다. | glide.ui.escape_all_script 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10148 | 1 | Act | JavaScript 데이터 입력은 이스케이프 사용을 통해 확인되어야 합니다. | 삽입 공격이 발생하여 보안 위험이 발생할 수 있습니다. | glide.html.escape_script 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10150 | 1 | Act | 클라이언트-스크립트 쿼리의 유효성을 검사해야 합니다. | 공격자가 플랫폼에 대해 무단 작업을 수행할 가능성이 있습니다. | glide.script.use.sandbox 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10151 | 1 | Act | 포함된 HTML 코드를 사용하지 않도록 설정해야 합니다. | 공격자가 세션 정보와 민감한 데이터를 훔치는 데 활용합니다. | glide.ui.security.allow_codetag 시스템 속성의 값을 업데이트하거나 false 이 시스템 속성을 false. | 설명서 | |
| sn_SE10152 | 1 | Act | 임베디드 HTML의 JavaScript 태그를 사용하지 않도록 설정해야 합니다. | 공격자가 세션 정보와 민감한 데이터를 훔치는 데 활용합니다. | glide.ui.security.codetag.allow_script 시스템 속성의 값을 업데이트하거나 false 이 시스템 속성을 false. | 설명서 | |
| sn_SE10153 | 1 | Act | AJAXEvaluate API를 사용하지 않도록 설정해야 합니다. | AJAXEvaluate는 서버 측 객체를 활용하여 클라이언트 브라우저에서 임의의 JavaScript를 실행할 수 있습니다. | glide.script.allow.ajaxevaluate 시스템 속성의 값을 업데이트하거나 false 이 시스템 속성을 false. | 설명서 | |
| sn_SE10154 | 1 | Act | HTMLSanitizer 확인을 활성화해야 합니다. | 클라이언트 쪽 교차 사이트 스크립팅 공격입니다. | glide.html.sanitize_all_fields 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10155 | 1 | Act | SOAP 요청에 대해 엄격한 보안을 사용하도록 설정해야 합니다. | 권한이 없는 사용자는 대상 인스턴스의 중요한 컨텐츠/데이터에 액세스할 수 있습니다. | glide.soap.strict_security 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10156 | 1 | Act | Jelly 보간을 사용하도록 설정해야 합니다. | JEXL 주입은 교차 사이트 요청 위조 및 코드 실행을 모두 초래할 수 있습니다. | glide.ui.jelly.js_interpolation.protect 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10157 | 1 | Act | 이스케이프 Excel 수식을 사용하도록 설정해야 합니다. | 악성 수식은 임베딩 스프레드시트에 민감한 정보가 포함되어 있지 않더라도 뷰어의 컴퓨터를 손상시키는 데 사용될 수 있으므로 위험을 초래합니다. | glide.export.escape_formulas 시스템 속성의 값을 업데이트 true 하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10159 | 1 | 제안 | 선택 사항: 특정 IP 범위에 접근 제한 | 인터넷의 대상 인스턴스에 대한 불필요한 노출 위험 | 특정 IP 주소만 인스턴스에 접근할 수 있어야 하는 경우 IP 범위 기반 인증 플러그인을 활성화하십시오. | 설명서 | |
| sn_SE10160 | 1 | Act | 보안 점프 시작(ACL 규칙) 플러그인을 사용하도록 설정해야 합니다. | 인스턴스에 대한 의도하지 않은 액세스를 잠그려면 접근 제어를 적용해야 합니다. ACL 빠르게 시작하기 규칙은 조직이 보다 쉽고 신속하게 프로덕션에 들어갈 수 있도록 많은 시스템 테이블을 보호하는 출발점을 제공하기 위해 작성되었습니다. | 보안 점프 시작(ACL 규칙) 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10161 | 1 | Act | 인바운드 트랜잭션은 두 번 확인해야 합니다. | 두 영역 간에 트랜잭션이 발생할 때 액세스 요청을 항상 확인해야 합니다. | glide.security.strict.updates 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10162 | 1 | Act | 실행 전에 UI 작업 조건을 확인해야 합니다. | 두 영역 간에 트랜잭션이 발생할 때 액세스 요청을 항상 확인해야 합니다. | glide.security.strict.actions 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10163 | 1 | Act | 성능 모니터링 ACL을 사용하도록 설정해야 합니다. | 서버에서 실행 중인 서버 상세 정보, 스레드 및 프로세스와 같은 중요한 데이터는 적절한 권한 없이는 최종 사용자에게 표시되지 않거나 액세스할 수 없습니다. | glide.security.diag_txns_acl 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10165 | 1 | Act | AJAXGlideRecord ACL 검사를 사용하도록 설정해야 합니다. | 클라이언트 스크립트를 통해 GlideAjax API를 통해 서버의 임의의 데이터를 쿼리할 수 있습니다. 서버 측 자원은 적절한 권한 부여 없이 액세스할 수 있으므로 ACL을 확인하면 애플리케이션이 구성된 권한에 따라 요청을 확인하는 데 도움이 됩니다. | glide.script.secure.ajaxgliderecord 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10166 | 1 | Act | SOAP 콘텐츠 유형 검사를 사용하도록 설정해야 합니다. | 인바운드 SOAP 요청을 수락할 때 관련 콘텐츠 유형이 요청의 일부로 정의되어 보안 위험으로 간주될 수 있는 잘못된 SOAP 응답을 제한하도록 적절한 검사를 수행해야 합니다. | glide.soap.require_content_type_xml 시스템 속성의 값을 업데이트 true 하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10167 | 1 | Act | SNC 접근 통제 플러그인을 활성화해야 합니다. | 광범위한 사용자 그룹에 대한 인스턴스 액세스의 불필요한 노출. | <ph keyref="var.company-no-reg-tm"/> 고객 지원에 문의하여 SNC 접근 통제 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10168 | 1 | 제안 | 선택 사항: 엄격한 IP 제한을 활성화해야 합니다. | 광범위한 사용자 그룹에 대한 인스턴스 액세스의 불필요한 노출. | glide.ip.authenticate.strict 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10169 | 1 | Act | 선택 사항: 명시적 역할 플러그인을 사용하도록 설정해야 합니다. | 외부 사용자(비직원)는 할당된 역할이 없고 내부 사용자(직원)만 액세스할 수 있도록 의도되거나 설계된 많은 중요한 테이블 ServiceNow 에 액세스할 수 있습니다. | <ph keyref="var.company-no-reg-tm"/> 고객 지원에 문의하여 Explicit Role 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10172 | 1 | Act | 라이브 프로파일 상세 정보에 대해 ACL을 사용하도록 설정해야 합니다. | API 요청은 항상 테이블 ACL을 준수해야 합니다. 권한이 없는 사용자가 라이브 프로파일의 세부 정보에 액세스하지 못하도록 제한을 적용해야 합니다. | glide.live_profile.details 시스템 속성의 값을 ACL로 업데이트하거나 이 시스템 속성을 ACL 값으로 삽입합니다. | 설명서 | |
| sn_SE10173 | 1 | Act | 클라이언트 호출 가능 스크립트 포함은 비공개여야 합니다. | 이 속성을 "예"로 설정하면 클라이언트 측 스크립트 포함에 대한 ACL이 우회되며 의도하지 않은 공용 기능이 발생할 수 있습니다. 클라이언트 스크립트가 기밀 정보를 제공하는 경우 잠재적인 보안 위험이 있을 수 있습니다. | glide.script.ccsi.ispublic 시스템 속성의 값을 업데이트하거나 false 이 시스템 속성을 false삽입합니다. | 설명서 | |
| sn_SE10174 | 1 | Act | SMTP 인증을 사용하도록 설정해야 합니다. | 인증은 항상 트랜잭션이 인스턴스로 전송되기 ServiceNow 전에 수행되어야 합니다. SMTP 인증은 대상 SMTP 서버에 인증하여 콘텐츠를 외부 메일 서버로 보내기 전에 이 요구 사항을 사용하도록 설정합니다. | glide.smtp.auth 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10175 | 1 | Act | WSDL 요청 인증을 사용하도록 설정해야 합니다. | WSDL 웹 서비스에 적절한 권한이 구성되어 있지 않으면 권한 없는 사용자가 대상 인스턴스의 중요한 WSDL 컨텐츠/데이터에 접근할 수 있습니다. | glide.basicauth.required.wsdl 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10176 | 1 | Act | CSV 요청 승인을 사용하도록 설정해야 합니다. | 수신 CSV 요청에 적절한 권한이 구성되어 있지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 컨텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.csv 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10177 | 1 | Act | Excel 요청 승인을 사용하도록 설정해야 합니다. | 수신 Excel 요청에 적절한 권한이 구성되어 있지 않으면 권한 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.excel 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10178 | 1 | Act | 임포트 요청 인증을 활성화해야 합니다. | 데이터 소스 임포트 요청에 적절한 권한이 구성되어 있지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.importprocessor 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10179 | 1 | Act | PDF 요청 승인을 활성화해야 합니다. | 수신 PDF 요청에 적절한 권한이 구성되어 있지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 컨텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.pdf 시스템 속성의 값을 다음으로 true 업데이트하거나 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10180 | 1 | Act | RSS 요청 인증을 활성화해야 합니다. | 수신 RSS 요청에 적절한 권한이 구성되어 있지 않으면 권한 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.rss 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10181 | 1 | Act | 스크립트 요청 권한을 사용하도록 설정해야 합니다. | 높음 - 수신 스크립트 요청에 적절한 권한이 구성되어 있지 않으면 권한 없는 사용자가 대상 인스턴스의 중요한 컨텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.scriptedprocessor 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10182 | 1 | Act | 기본 인증: SOAP 요청을 사용하도록 설정해야 합니다. | 데이터 소스 SOAP 요청에 적절한 권한이 구성되어 있지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.soap 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10183 | 1 | Act | 기본 인증: JSONv2 요청을 사용하도록 설정해야 합니다. | 데이터 소스 JSON 요청에 적절한 권한이 구성되어 있지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.jsonv2 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10184 | 1 | Act | 언로드 요청 인증을 활성화해야 합니다. | 데이터 소스 언로드 요청에 적절한 권한이 구성되어 있지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.unl 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10185 | 1 | Act | XML 요청 승인을 사용하도록 설정해야 합니다. | 수신 XML 요청에 적절한 권한이 구성되어 있지 않으면 권한 없는 사용자가 대상 인스턴스의 중요한 콘텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.xml 시스템 속성의 값을 업데이트 true 하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10186 | 1 | Act | XSD 요청 인증을 활성화해야 합니다. | 수신 XSD 요청에 적절한 권한이 구성되지 않으면 권한이 없는 사용자가 대상 인스턴스의 중요한 컨텐츠/데이터에 액세스할 수 있습니다. | glide.basicauth.required.xsd 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10187 | 1 | 제안 | 선택 사항: SAML 2.0 웹 브라우저 SSO 프로파일 플러그인을 사용하도록 설정해야 합니다. | 교차 사이트 스크립팅 공격에 취약합니다. | 통합 - 다중 제공자 1회 사용자 인증(SSO) 설치 관리자 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10188 | 1 | Act | 소개 페이지에서 자격 증명 제거 | 기본 자격 증명이 노출될 수 있습니다. | 기본 자격 증명을 제거하려면 시작 페이지의 기본 콘텐츠를 변경해야 합니다. | 설명서 | |
| sn_SE10189 | 1 | Act | 메일 주소 저장을 사용하지 않도록 설정해야 합니다. | 로그인 시 메일 주소 저장 확인란을 선택하면 추가 쿠키가 사용자의 컴퓨터에 저장되어 후속 방문 시 로그인한 사용자에 대한 세션을 자동으로 다시 설정합니다. 이렇게 하면 사용자 세션이 의도적으로 로그아웃할 때까지 활성 상태가 유지될 수 있으므로 보안 위험이 있습니다. 이러한 시나리오에 대한 공격 가능성은 최종 사용자가 컴퓨터/브라우저를 방치하거나 브라우저가 다른 공격 벡터로부터 손상된 경우 증가합니다. | glide.ui.forgetme 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10190 | 1 | Act | 암호 필드 자동 완성을 사용하지 않도록 설정해야 합니다. | 사용자 인증 필드를 확인해야 하며 클라이언트 측 캐싱이 발생하도록 허용해서는 안 됩니다. | glide.login.autocomplete 시스템 속성의 값을 업데이트하거나 false 이 시스템 속성을 false. | 설명서 | |
| sn_SE10191 | 1 | Act | ValidatePasswordStronger를 사용하도록 설정해야 합니다. | 인스턴스에서 취약한 암호가 활성화되면 액세스가 용이하고 악의적 사용자가 간단한 암호 추측/무차별 대입 기술을 사용하여 인스턴스에 액세스할 가능성이 매우 높기 때문에 심각한 보안 위험이 됩니다. | ValidatePasswordStronger 설치 엑시트를 활성화하십시오. | 설명서 | |
| sn_SE10192 | 1 | Act | 암호 없는 인증 사용 안 함을 사용하지 않도록 설정해야 합니다. | 공격자는 기본 사용자 이름 또는 암호 없이 특정 개인/그룹(일반적으로 이름.성)으로 인스턴스에 로그인할 수 있습니다. 이는 공개 사용자가 인스턴스 데이터의 기밀성과 무결성을 침해할 수 있으므로 심각한 보안 위험으로 간주됩니다. | glide.login.no_blank_password 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10193 | 1 | 제안 | 선택 사항: 다단계 인증을 사용하도록 설정해야 합니다. | 민감한 데이터에 대한 무단 접근 위험이 증가합니다. | glide.authenticate.multifactor 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10194 | 1 | Act | 다운로드 MIME 유형을 채워야 합니다. | 클라이언트 측 스크립팅 공격 벡터는 다양한 종류가 있으며 첨부 파일 MIME 형식 남용도 예외는 아닙니다. MIME 형식은 공격자가 악용하여 피해자 측에서 첨부 파일의 의도하지 않은 스크립트 콘텐츠를 렌더링하여 중요한 정보를 캡처할 수 있습니다. 현재 컨텍스트에서 속성은 브라우저에서 인라인으로 렌더링해서는 안 되는 쉼표로 구분된 첨부 파일 MIME 유형의 목록으로 채워져야 합니다. 예: 텍스트/html | glide.ui.attachment.download_mime_types 시스템 속성의 값을 text/csv,text/html,image/svg,image/svg+xml,application/xml,application/html+xml과 같은 신뢰할 수 있는 파일 형식으로 업데이트하거나 신뢰할 수 있는 파일 형식의 값으로 이 시스템 속성을 삽입합니다. | 설명서 | |
| sn_SE10195 | 1 | Act | 첨부 파일 강제 다운로드를 사용하도록 설정해야 합니다. | 클라이언트 측 스크립팅 공격을 줄이려면 첨부 파일을 브라우저 컨텍스트에서 렌더링하는 대신 강제로 다운로드해야 합니다. | glide.ui.attachment.force_download_all_mime_types 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10197 | 1 | Act | 다운로드 가능한 파일 형식을 채워야 합니다. | 신뢰할 수 없는 사용자 입력 소스에는 파일 다운로드 제한을 적용해야 합니다. | glide.ui.strict_customer_uploaded_content_types 시스템 속성의 값을 신뢰할 수 있는 파일 형식으로 업데이트하거나 신뢰할 수 있는 파일 형식의 값으로 이 시스템 속성을 삽입합니다. | 설명서 | |
| sn_SE10198 | 1 | Act | 파일 확장명은 제한되어야 합니다. | MIME 형식 검증은 이 속성에 따라 달라지므로 악성 파일 업로드와 관련된 취약성을 완화하는 것이 좋습니다. | glide.attachment.extensions 시스템 속성의 값을 신뢰할 수 있는 파일 확장명으로 업데이트하거나 신뢰할 수 있는 파일 확장명의 값으로 이 시스템 속성을 삽입합니다. | 설명서 | |
| sn_SE10199 | 1 | Act | MIME 유형 업로드를 확인해야 합니다. | 파일 포함 및 악성 파일 업로드와 같은 취약성을 줄이려면 MIME 유형 검증을 따라야 합니다. | glide.security.file.mime_type.validation 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10200 | 1 | Act | 첨부 파일에 대한 인증되지 않은 액세스는 제한되어야 합니다. | 일부 첨부 파일에 중요한 정보가 포함될 수 있으므로 인증되지 않은 사용자에 대해서는 제한을 적용해야 합니다. | glide.image_provider.security_enabled 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10201 | 1 | Act | HTTP 세션 식별자는 교대 중이어야 합니다. | SessionID는 브라우저에서 세션 상태를 유지관리하여 인스턴스 사용자를 처리하고 인증하는 데 사용됩니다. 따라서 SessionID는 중요한 데이터로 간주되며 기본적으로 안전해야 합니다. 세션 교대는 사용자가 인증되지 않은 페이지에서 인증 페이지로 이동할 때마다 sessionID 변경을 적용하는 보안 통제입니다. | glide.ui.rotate_sessions 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10202 | 1 | Act | 보안 세션 쿠키를 사용하도록 설정해야 합니다. | 세션 쿠키는 중요한 데이터이므로 적절한 형식을 지정해야 합니다. 요청을 제공하기 전에 항상 세션 쿠키를 엄격하게 확인하는 것이 좋습니다. | glide.ui.secure_cookies 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10203 | 1 | Act | 세션 활동 시간 제한을 사용하도록 설정해야 합니다. | 사용자 세션이 무기한 활성 상태가 되는 것은 보안상 위험하며 시간 기반 구성에서 만료되어야 합니다. | glide.ui.session_timeout 시스템 속성의 값을 60으로 업데이트하거나 이 시스템 속성을 값이 60으로 삽입합니다. | 설명서 | |
| sn_SE10204 | 1 | Act | 쿠키 HTTP 전용만 사용 설정해야 합니다. | 애플리케이션의 세션 쿠키는 최종 사용자를 인증하고 애플리케이션에 대한 암시적 액세스 권한을 제공하므로 도난당하거나 익스포트되지 않도록 보호해야 합니다. HTTP 전용 플래그는 JavaScript 삽입 또는 교차 사이트 스크립팅 취약성으로 인해 세션 쿠키가 도난당하지 않도록 보호합니다. | glide.cookies.http_only 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10205 | 1 | Act | 안티-CSRF 토큰을 활성화해야 합니다. | 교차 사이트 요청 위조는 인스턴스 데이터의 무결성을 침해하는 중대한 보안 위험 요소입니다. 공격자는 인스턴스 사용자에 대한 애플리케이션의 신뢰를 남용하여 모든 인스턴스 사용자에게 CSRF 공격을 시작할 수 있습니다. 소셜 엔지니어링 공격의 도움으로 사용자는 인스턴스에서 공격자를 대신하여 잘못된 형식의 요청을 제출할 수 있습니다. | glide.security.use_csrf_token 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10206 | 1 | 제안 | 선택 사항: CSRF 엄격한 확인을 사용하도록 설정해야 합니다. | 교차 사이트 요청 위조는 인스턴스 데이터의 무결성을 침해하는 중대한 보안 위험 요소입니다. 공격자는 인스턴스 사용자에 대한 애플리케이션의 신뢰를 남용하여 모든 인스턴스 사용자에게 CSRF 공격을 시작할 수 있습니다. 소셜 엔지니어링 공격의 도움으로 사용자는 인스턴스에서 공격자를 대신하여 잘못된 형식의 요청을 제출할 수 있습니다. | glide.security.csrf.strict.validation.mode 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10207 | 1 | Act | 인증서 신뢰를 사용하지 않도록 설정해야 합니다. | 기밀성 및 무결성을 위해 애플리케이션은 트랜잭션 작업에 인증서를 사용하기 전에 인증서의 CA를 확인해야 합니다. | com.glide.communications.trustmanager_trust_all 시스템 속성 false 의 값을 업데이트하거나 이 시스템 속성을 false. | 설명서 | |
| sn_SE10208 | 1 | Act | SSLv2/SSLv3를 사용하지 않도록 설정해야 합니다. | BEAST, SSL 하트 블리드 등과 같은 여러 클라이언트 측 공격으로 인해 레거시 버전의 SSL은 HTTP 보안 셸 구현에 활용될 때 안전하지 않은 것으로 입증되었습니다. | glide.outbound.sslv3.disabled 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10209 | 1 | Act | 관련 링크를 적용해야 함 | 절대 URL은 매개변수 또는 필드 값의 일부로 사용될 때 보안 위험을 초래할 수 있으며, 따라서 소스 페이지를 악의적 통제 웹 사이트로 리디렉션합니다. | glide.cms.catalog_uri_relative 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10210 | 1 | Act | X-Frame-Options: SAMEORIGIN을 활성화해야 합니다. | "동일 원본 정책"을 사용하면 도메인이 다른 도메인에서 스크립트 또는 자원을 검색하지 못하도록 제한할 수 있습니다. 모든 최신 브라우저는 이 기능을 지원합니다. 정책은 프로토콜, 포트 및 호스트를 기반으로 연결을 확인합니다. CORS(Cross Origin Request)는 헤더 값의 일부로 명시적으로 명시된 경우 다른 도메인의 리소스/스크립트에 대한 액세스를 허용하는 "동일 원본 정책"을 약간 수정한 것입니다. 현재의 경우 X-Frame-Options 헤더는 응용 프로그램을 타사 웹 사이트에서 렌더링할 수 있는지 여부를 ServiceNow 제어하므로 민감한 노출을 줄이기 위해 "SAMEORIGIN"으로 설정할 때 속성 값을 사용하면 렌더링이 발생하지 않습니다. | glide.set_x_frame_options 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true삽입합니다. | 설명서 | |
| sn_SE10211 | 1 | Act | 실패한 로그인 시도 관리를 구성해야 합니다. | 의심스러운 활동을 적시에 식별하고 조치를 취할 수 있도록 로깅 및 감사 전략을 적용해야 합니다. | SNC 사용자 관련 스크립트 작업을 활성화합니다. | 설명서 | |
| sn_SE10212 | 1 | Act | SQL 오류 메시지 렌더링을 사용하지 않도록 설정해야 합니다. | 공격자에게 도움이 될 수 있는 웹 페이지에 중요한 SQL 정보를 오류 메시지의 일부로 표시할 수 없습니다. | glide.db.loguser 시스템 속성의 값을 업데이트하거나 이 시스템 속성을 삭제합니다.false | 설명서 | |
| sn_SE10213 | 1 | Act | 모바일 UI 난독화를 사용하도록 설정해야 합니다. | 손상된(탈옥된) 장치를 사용하면 공격자가 파일 시스템에 대한 전체 액세스 권한을 가질 수 있으므로 민감한 정보가 포함된 파일/스냅샷에 액세스할 수 있습니다. | glide.ui.m.blur_ui_when_backgrounded 시스템 속성 true 의 값을 업데이트하거나 이 시스템 속성을 true. | 설명서 | |
| sn_SE10214 | 1 | 제안 | 로그아웃 리디렉션을 위한 URL 허용 목록 | 클라이언트 쪽 개방형 리디렉션을 통해 공격자는 피해자/사용자를 공격자가 통제하는 웹 사이트로 리디렉션할 수 있으며 보안 위험으로 간주됩니다. | 화이트리스트 URL을 포함하도록 glide.security.url.whitelist 시스템 속성의 값을 업데이트하거나 화이트리스트 URL의 값으로 이 시스템 속성을 삽입합니다. | 설명서 | |
| sn_SE10215 | 1 | 제안 | 선택 사항: 엔터티 확인을 사용하지 않도록 설정해야 합니다. | 공격자는 이를 활용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소비할 수 있습니다. | glide.stax.allow_entity_resolution 시스템 속성의 값을 업데이트 false 하거나 이 시스템 속성을 false. | 설명서 | |
| sn_SE10216 | 1 | 제안 | 이메일 도메인 제한을 구성해야 합니다. | 이 속성을 사용하도록 설정하지 않으면 공격자가 전자 메일 스푸핑/스팸 캠페인을 사용하여 많은 수의 전자 메일을 보낼 수 있으며, 이로 인해 불필요한 게스트 사용자가 더 많이 생성될 수 있습니다. | 신뢰할 수 있는 도메인을 포함하도록 glide.user.trusted_domain 시스템 속성의 값을 업데이트하거나 신뢰할 수 있는 도메인의 값으로 이 시스템 속성을 삽입합니다. | 설명서 | |
| sn_SE10237 | 1 | Recommend | 관련 없는 자격 증명은 제거해야 합니다. | 사용하지 않는 자격 증명은 해킹 시도에서 계정을 스푸핑하는 데 사용될 수 있습니다. | 자격 증명을 적용하거나 사용하지 않는 기록을 삭제합니다. | 설명서 | |
| sn_SE10248 | 1 | Act | 요청된 상태의 교차 범위 권한을 검토해야 합니다. | 애플리케이션의 버그가 발생하여 데이터가 부정확하거나 사용자 경험이 저하될 가능성이 있습니다. | 교차 범위 권한 기록을 검토하여 요청된 운영을 허용하거나 거부할지 결정합니다. | 설명서 | |
| sn_SE10266 | 1 | Act | 기본 암호는 "암호"로 설정하면 안 됩니다. | 공격자가 시스템에 액세스할 수 있는 불필요한 보안 위험입니다. | 소문자, 대문자, 숫자 및 특수 문자를 포함하는 보다 복잡한 암호를 사용하도록 glide.user.default_password 속성의 값을 업데이트합니다. | 설명서 | |
| sn_SE10277 | 1 | Act | 엄격한 사용자 이미지 업로드 강제 적용 | 이 속성을 아니오로 설정하면 사진 필드에 이미지 업로드에는 ACL이 적용되지 않으며 권한 없는 사용자가 다른 사용자의 프로파일에 이미지를 업로드할 가능성이 열립니다. | "glide.security.strict.user_image_upload" 시스템 속성을 로 true설정합니다. | 설명서 | |
| sn_SE10278 | 1 | Act | 빈 대상 테이블이 있는 이메일에 접근 제한 | 사용자는 의도하지 않은 이메일을 볼 수 있는 액세스 권한을 가질 수 있습니다. | "glide.email.email_with_no_target_visible_to_all" 시스템 속성을 로 false설정합니다. | 설명서 | |
| sn_SE10279 | 1 | 제안 | 엔터티 확장 임계치를 3,000으로 설정해야 합니다. | 공격자는 이를 활용하여 데이터를 기하급수적으로 확장하여 모든 시스템 리소스를 빠르게 소비할 수 있습니다. | glide.xmlutil.max_entity_expansion system_property 의 최솟값은 3,000이어야 합니다. | 설명서 | |
| sn_SE10280 | 1 | Act | 이메일 스팸 점수 매기기 및 필터링 플러그인을 사용하도록 설정해야 합니다. | 이메일 필터를 사용하면 관리자가 조건 작성기 또는 조건 스크립트를 사용하여 이메일을 특정 사서함으로 이동하거나 무시할 시기를 지정할 수 있습니다. 이는 알려진/알 수 없는 보낸 사람으로부터 악성 이메일을 수신할 때 특히 유용합니다. | 이메일 스팸 점수 매기기 및 필터링(com.___PARM_0___) 플러그인을 활성화합니다. | 설명서 | |
| sn_SE10281 | 1 | Act | XML 외부 엔터티 처리 - 허용 목록을 구성해야 합니다. | 공격자는 DTD를 사용할 수 있으며 서버가 실행할 수 있는 임의의 HTTP 요청을 포함할 수 있습니다. | XML 엔터티 처리에서 액세스할 수 있는 URL 목록으로 값을 설정합니다. 필요한 경우 쉼표로 구분된 FQDN 목록에 대한 액세스를 허용하는 데 사용됩니다. XML 엔터티 처리를 통해 연결할 수 있는 유일한 URL입니다. 참고: 엔터티 시스템 ID는 "http:" 또는 "https:"로 시작해야 하며, 그렇지 않으면 자동으로 차단됩니다. 허용 목록이 활성화되면 외부 엔터티 정의의 공개 양식이 필요합니다. | 설명서 | |
| sn_SE10282 | 1 | Act | 엔터티 확장을 사용하지 않도록 설정해야 합니다. | 공격자는 이를 활용하여 데이터를 기하급수적으로 확장하고 모든 시스템 리소스를 빠르게 소비하여 Billion Laugh 공격을 일으킬 수 있습니다. | 속성 "glide.xml.entity.whitelist"이 "http://java.sun.com/j2ee/dtds/"로 설정되어 있고 속성 ""glide.xml.entity.whitelist.enabled가 ""true로 설정되어 있는지 확인합니다. | 설명서 | |
| sn_SE10284 | 1 | Act | OpenFrame 원본 확인을 사용하도록 설정해야 합니다. | 적절한 원본 확인이 없으면 모든 웹 페이지 또는 스크립트가 이벤트 핸들러를 제어할 수 있습니다. | 원본 확인을 사용하려면 값을 다음으로 설정합니다 true . 이 속성을 로 설정 true하면 허용 목록에 있는 도메인을 시스템 속성에 glide.ui.concourse.onmessage_enforce_same_origin_whitelist 추가해야 합니다. | 설명서 | |
| sn_SE10285 | 1 | 제안 | 사용자 세션이 만료되는 최대 한도 설정 | 사용자 세션이 무기한 활성 상태가 되는 것은 보안상 위험하며 시간 기반 구성에서 만료되어야 합니다. | glide.ui.user_cookie.max_life_span_in_days 시스템 속성을 30으로 설정합니다. | 설명서 | |
| sn_SE10287 | 1 | Act | 기본 캐시 제어 값은 비공개로 설정해야 합니다. | CDN/프록시가 있는 인스턴스는 정적 콘텐츠를 캐시하고 인증 없이 렌더링할 수 있습니다. | glide.http.cache_control 시스템 속성을 비공개로 설정합니다. | 설명서 | |
| sn_SE10295 | 1 | Recommend | 보고서는 일반적으로 공개하지 않아야 합니다. | 미인증 사용자는 분류된 데이터를 볼 수 있습니다. | 어떤 사용자든 보고서에 액세스하게 하는 대신 역할, 사용자 및/또는 그룹을 통해 보고서를 공유합니다. 로그인한 사용자만 보고서를 사용할 수 있도록 하려면 공유 설정을 모두로 설정하지만 게시하지 마십시오. 목록 보고서는 항상 ACL(테이블 수준 보안)을 적용하므로 이 정의에서 제외됩니다. | 설명서 | |
| sn_SE10314 | 1 | Recommend | 도메인 분리됨: 교차 도메인 가시성이 있는 사용자 | 사용자가 다른 도메인의 데이터에 노출될 수 있습니다. | "가시성 도메인"을 사용하는 대신 보다 강력한 제어를 위해 "도메인 포함"을 사용하는 것이 가장 좋습니다. | 설명서 | |
| sn_SE10432 | 1 | Recommend | 포털 페이지는 일반적으로 공개하면 안 됩니다. | 미인증 사용자는 분류된 데이터를 볼 수 있습니다. | 공개 필드를 설정 false 하고 액세스가 필요한 대상으로만 제한되도록 합니다. | 설명서 | |
| sn_SE10433 | 1 | 제안 | 공개 UI 페이지 검토 | 미인증 사용자는 분류된 데이터를 볼 수 있습니다. | 활성 필드를 다음으로 false 설정하고 액세스가 필요한 대상으로만 제한되도록 합니다. | 설명서 | |
| sn_SE10434 | 1 | Recommend | HR 수명주기 이벤트: '할당 가능 기준' 필드 변경 | 이러한 HR 역할의 "할당 가능 기준" 필드를 변경하면 경험이 없거나 악의적인 사용자가 분류된 HR 데이터에 액세스할 수 있으므로 보안 위험이 발생할 수 있습니다. | 이러한 HR 역할이 .admin 또는 sn_hr_le. 역할에 의해 "할당 가능"sn_hr_le한지 확인하십시오.activity_set_manager 이러한 기록을 기준선으로 되돌리면 이러한 결과가 해결됩니다. | 설명서 | |
| sn_SE10435 | 1 | Recommend | HR Core: "할당 가능 기준" 필드 변경 | "할당 가능 기준" 필드를 변경하면 경험이 없거나 악의적인 사용자가 분류된 HR 데이터에 액세스할 수 있으므로 보안 위험이 발생할 수 있습니다. | 이러한 기록의 "할당 가능 기준" 필드가 이 플러그인이 활성화되었을 때 제공된 대로 설정되었는지 확인합니다. 이러한 기록을 기준선으로 되돌리면 이러한 결과가 해결됩니다. | 설명서 | |
| sn_SE10436 | 1 | Act | 변경 기록의 계획된 시작 및 종료 날짜는 ACL을 통해 보호되어야 합니다. | 계획된 시작 및 종료 날짜 필드를 보호하는 ACL이 없는 경우 사용자는 목록 뷰에서 이러한 필드를 업데이트할 수 있습니다. 날짜를 변경하면 사용자마다 혼동을 줄 수 있습니다. | UI 정책이 아닌 ACL을 만들어 계획된 시작 및 종료 날짜 필드를 보호합니다. | 설명서 | |
| sn_SE10437 | 1 | Act | 모바일 장치는 복사/붙여넣기를 제한해야 합니다. | 손상된(탈옥된) 장치를 사용하면 공격자가 클립보드에 대한 전체 액세스 권한을 가질 수 있으므로 클립보드에 포함된 중요한 정보에 액세스할 수 있습니다. | 속성 ""glide.sg.clear_pasteboard_when_backgrounded를 로 true설정합니다. | 설명서 | |
| sn_SE10438 | 1 | Recommend | 사용자 잠금 기간의 기본값은 1440분이어야 합니다. | 이 속성을 더 짧은 값으로 설정하면 해커가 잠시 후 공격을 재개할 수 있습니다. | 속성 값을 ".request.password_resetmax_attempt_window"에서 1440(분 단위)까지. | 설명서 | |
| sn_SE10439 | 1 | Act | 선택 사항: 자동 사용자 작성을 사용하도록 설정해야 합니다. | 조직 외부의 사용자는 인시던트 기록을 생성할 수 있습니다. | 속성 ""glide.pop3readerjob.create_caller를 로 false설정합니다. 인 경우 false, 인스턴스는 게스트 사용자를 가장하여 기존 사용자와 일치하지 않는 사용자로부터 인바운드 작업을 실행합니다. 기존 사용자 기록을 검토하여 동일한 이메일 주소를 포함하는 기록을 조정합니다. 이메일 주소를 조정하기 전에 플러그인을 활성화하면 인스턴스는 동일한 이메일 주소를 가진 사용자를 구별할 수 없으며 일치하는 이메일 주소를 가진 사용자 중 한 명을 임의로 선택합니다. | 설명서 | |
| sn_SE10440 | 1 | Act | 자가 등록 페이지의 Google re-CAPTCHA를 활성화해야 합니다. | 자가 등록 페이지를 통한 스팸이 증가했습니다. | ".captchaEnabled" 속성을sn_ext_usr_reg 설정합니다.true | 설명서 | |
| sn_SE10441 | 1 | Act | 바이러스 백신 보호 검사가 활성화되어야 합니다. | 첨부 파일로 인한 바이러스 감염 위협이 증가했습니다. | 속성 ""com.___PARM_0___를 로 true설정합니다. | 설명서 | |
| sn_SE10442 | 1 | Act | 시스템 속성 "glide.pop3.process_locked_out"을 활성화하면 안 됩니다. | 잠겨 있거나 신뢰할 수 없는 사용자가 암호를 재설정하고 인스턴스에 이메일을 보낼 수 있습니다. | 속성 ""glide.pop3.process_locked_out를 로 false설정합니다. | 설명서 | |
| sn_SE10443 | 1 | Act | 암호 재설정 시도 실패 횟수 증가 | 이 속성을 더 큰 값으로 설정하면 해커가 여러 번 로그인을 시도할 수 있습니다. | 속성 값을 ".request.password_resetmax_attempt"에서 암호 시도 3회까지. | 설명서 | |
| sn_SE10444 | 1 | Recommend | 관리자 역할이 할당된 통합 계정 | 관리 액세스 권한이 있는 통합 계정은 잠재적인 보안 위협으로 작용합니다. | 통합 계정 사용자에게 관리자 역할이 할당되지 않았는지 확인합니다. 대체 접근 방식은 필요한 실제 테이블과 기록에 대한 액세스 권한을 부여하는 것입니다. 임포트 관리자로도 임포트 세트를 처리할 수 있습니다. 관리자 역할을 사용하여 예약된 작업을 구현하지 않도록 주의해야 합니다. | 설명서 | |
| sn_SE10446 | 1 | Recommend | 역할에 대한 PA 세부 항목 가시성 | 사용자는 자신과 관련이 없는 데이터를 볼 수 있습니다. | "모든 역할에서 표시"를 선택 취소하고 세부 항목에 액세스하는 데 필요한 특정 역할을 선택합니다. | 설명서 | |
| sn_SE10447 | 1 | Act | IT 시스템 관리자 역할에서 캠페인 관리자 역할 제거 | IT 시스템 관리자는 중요한 HR 데이터를 볼 수 있습니다. | 관리자 사용자는 테이블로 sys_user_role_contains 이동한 다음 "관리자" 역할 기록을 선택합니다. "역할 포함" 관련 목록에서 .campaign_admin를 제거합니다sn_ca. 해당 역할을 가진 사용자가 두 명 이상 있어야 합니다. | 설명서 | |
| sn_SE10448 | 1 | Act | IT 시스템 관리자 역할에서 컨텐츠 전송 관리자 역할 제거 | IT 시스템 관리자는 중요한 HR 데이터를 볼 수 있습니다. | 관리자 사용자는 테이블로 sys_user_role_contains 이동한 다음 "관리자" 역할 기록을 선택합니다. "역할 포함" 관련 목록에서 .content_admin를 제거합니다sn_cd. 해당 역할을 가진 사용자가 두 명 이상 있어야 합니다. | 설명서 | |
| sn_SE10449 | 1 | Act | IT 시스템 관리자 역할에서 직원 문서 관리 관리자 역할 제거 | IT 시스템 관리자는 중요한 HR 데이터를 볼 수 있습니다. | 관리자 사용자는 테이블로 sys_user_role_contains 이동한 다음 "관리자" 역할 기록을 선택합니다. "역할 포함" 관련 목록에서 .admin을 제거합니다 sn_hr_ef. 해당 역할을 가진 사용자가 두 명 이상 있어야 합니다. | 설명서 | |
| sn_SE10450 | 1 | Recommend | 모바일 앱에 대한 앱 PIN을 활성화해야 합니다. | PIN이 필요하지 않은 경우 모든 사용자가 모바일 애플리케이션에 액세스할 수 있습니다. | 속성 ""glide.sg.require_mobile_application_pin를 로 true설정합니다. | 설명서 | |
| sn_SE10452 | 1 | Recommend | 서비스 포털 리소스는 액세스를 제한할 역할을 정의해야 합니다. | 역할을 이용한 접근 제어가 서비스 포털 페이지 및 위젯에 올바르게 구성되지 않으면 데이터 유출이 발생할 수 있습니다. | 공용이 아닌 서비스 포털 자원의 경우 액세스를 제한하도록 구성된 역할 목록이 있어야 합니다. 접근 제어가 필요하지 않은 페이지와 위젯만 퍼블릭이거나 역할이 정의되어 있지 않아야 합니다. | 설명서 | |
| sn_SE10455 | 1 | Act | 기록 생성자는 접근을 제한할 역할을 정의해야 합니다. | 기록 생성자는 역할에 관계없이 모든 사용자가 볼 수 있습니다. | 시스템 속성 "glide.sc.use_user_criteria" true 를 기록 생성자 내의 접근성 탭으로 설정하거나 접근성 탭으로 이동하여 역할이 정의되어 있는지 확인합니다. | 설명서 | |
| sn_SE10457 | 1 | 제안 | 단일 이메일 알림에 나열된 최대 수신자 수는 100명으로 제한되어야 합니다. | 수신자 수 제한이 100명을 초과하는 사용자를 대상으로 중복된 이메일 알림이 생성됩니다. | 속성 ""glide.email.smtp.max_recipients를 100보다 작거나 같은 값으로 설정합니다. | 설명서 | |
| sn_SE10460 | 1 | Recommend | HR 프로파일에 동문이 있는 사용자가 여전히 활성으로 표시되어 있음 | 퇴사한 사용자는 인스턴스에 계속 액세스할 수 있습니다. | "sn_hr_corehrsm_alumni." 역할이 할당되었습니다. | 설명서 | |
| sn_SE10461 | 1 | 제안 | 웹 서비스 액세스 전용 사용자는 높은 액세스 권한을 가질 수 없습니다. | 이러한 사용자에게 높은 접근 권한이 제공되는 경우 잠재적인 손상 지점이 될 수 있습니다. | 웹 서비스 액세스 전용 사용자에서 상승된 액세스 역할을 제거합니다. | 설명서 | |
| sn_SE10462 | 1 | 제안 | 테이블의 액세스 통제 | 접근 제어가 없으면 모든 사용자가 액세스할 수 없어야 하는 테이블에 접근할 수 있습니다. | 보안 관리자 역할로 상승한 다음 시스템 보안 > 액세스 제어로 이동하여 새 ACL을 생성합니다. | 설명서 | |
| sn_SE10463 | 1 | Act | 관리자 역할에서 HR 코어 관리자 및 LE 관리자 역할을 제거합니다. | HR 관리자 [sn_hr_core.admin] 및 LE 관리자 [sn_hr_le.admin]이 있는 사용자만 중요한 정보가 포함된 HR 데이터에 액세스할 수 있습니다. | 시스템 구성 후 관리자 역할에서 HR 관리자 역할을 제거하여 관리자가 중요한 HR 정보를 볼 수 없도록 합니다. 이렇게 하면 HR 관리자 [sn_hr_core.admin]만 중요한 정보에 액세스할 수 있습니다. | 설명서 | |
| sn_SE10466 | 1 | Recommend | 의도하지 않은 교차 범위 권한 | 범위 애플리케이션에 대한 무단 접근 방지 | 각 교차 범위 권한을 조사하고 이것이 실제로 애플리케이션의 일부로 필요한지 확인합니다. 그렇지 않은 경우 권한 및 회귀 테스트를 제거하여 동작이 예상대로 수행되는지 확인합니다. | 설명서 | |
| sn_SE10468 | 1 | Act | 외부 사용자는 sys_audit 테이블에 액세스할 수 없어야 합니다. | 외부 사용자는 시스템 감사 테이블에 액세스하여 잠재적으로 기밀인 데이터를 볼 수 있습니다. | 일반적으로 시스템 테이블은 모든 내부 및 외부 사용자가 액세스할 필요가 없으며 필요한 그룹으로 제한될 수 있습니다. | 설명서 | |
| sn_SE10469 | 1 | Act | "HR 역할 할당" 비즈니스 규칙을 비활성화하거나 삭제하지 마십시오. | BR은 고용 유형 및 시작/종료 날짜를 기준으로 HR 포털에 대한 접근 권한을 자동으로 부여하거나 제거하여 보안 문제를 방지합니다. | 비즈니스 규칙 "HR 역할 할당"을 활성으로 설정합니다. | /api/now/v1/context_doc_url/CSHelp:client-role-assignment-rules | |
| sn_SE10470 | 1 | Recommend | HR 범위 애플리케이션에 대해 HR 관리자에게 위임된 개발자 부여 | 위임된 개발자를 HR 핵심 범위에 할당하여 IT 시스템 관리자의 HR 중요 정보에 대한 의도하지 않은 액세스를 방지합니다. | HR 핵심 범위에 위임된 개발자 역할을 할당합니다. | 설명서 | |
| sn_SE10471 | 1 | Act | 프로덕션의 복제에서 제외되지 않는 HR 테이블 | 중요한 정보가 포함된 HR 데이터는 하위 프로덕션 인스턴스로 복제할 수 있습니다. | 프로덕션 인스턴스에서 HR 테이블에 대한 제외를 생성합니다. | 설명서 | |
| sn_SE10472 | 1 | Recommend | 취약성 통합에 적절한 사용자 계정을 사용하지 않음 | 부적절한 사용자 계정을 사용하면 보안 취약점이 발생할 수 있습니다. | 예약된 스크립트 실행 및 예약된 데이터 임포트를 위해 VR 시스템 계정을 RunAs 사용자로 사용합니다. | 설명서 | |
| sn_SE10473 | 1 | Act | 높은 권한 역할을 가진 사용자 수 | 높은 권한 역할을 가진 사용자가 10명이 넘으면 보안 유출 가능성이 높아집니다. | 모든 높은 권한 역할에 10명 이상의 사용자가 할당되지 않아야 합니다. | 설명서 | |
| sn_SE10474 | 1 | Recommend | 존재하지 않는 역할과 공유된 보고서 | 존재하지 않는 역할과 공유된 보고서는 예기치 않은 동작으로 이어질 수 있습니다. | 보고서를 편집하여 잘못된 역할을 제거한 다음 보고서를 유효한 역할과 공유합니다. | 설명서 | |
| sn_SE10475 | 1 | 제안 | 전담 통합 사용자를 사용하여 기본값 대신 작업 실행 | WS-보안이 사용 가능한 경우 내부 통합을 포함하여 모든 SOAP 요청에 인증이 필요합니다. MID 서버 또는 ODBC 드라이버 사용자 계정 사용자가 내부 통합 사용자로 설정되지 않은 경우 통신 요청이 차단될 수 있습니다. | MID 서버 또는 ODBC 드라이버 사용자 계정의 필드를 확인합니다 internal_integration_user . | 설명서 | |
| sn_SE10476 | 1 | Act | 모든 외부 사용자에 대한 시스템 감사 테이블 접근 | 사용자는 시스템 테이블에 대한 불필요한 액세스 권한을 가질 수 있습니다. | 일반적으로 시스템 테이블은 모든 내부 및 외부 사용자가 액세스할 필요가 없으며 필요한 그룹으로 제한될 수 있습니다. | 설명서 | |
| sn_SE10478 | 1 | Act | 관리자 역할에서 보안 인시던트 관리자 역할 제거 | 보안 인시던트 관리자 역할을 가진 사용자만 중요한 정보가 포함된 보안 인시던트 데이터에 액세스할 수 있어야 합니다. | 시스템 구성 후 관리자 역할에서 보안 인시던트 관리자 역할을 제거하여 관리자가 중요한 보안 인시던트 정보를 볼 수 없도록 합니다. 이렇게 하면 보안 인시던트 관리자 [sn_si.admin]만 중요한 정보에 액세스할 수 있습니다. | 설명서 | |
| sn_SE10479 | 1 | Act | RCA를 사용하여 HR 코어 보안 | 중요한 정보에 액세스하기 위해 HR 데이터 또는 테이블에 대해 서버 측 쿼리를 실행할 수 있습니다. | 인사 관리 코어 애플리케이션(ID:)을 사용할 때는 제한된 호출자 접근(ID:com.___PARM_0___com.sn_hr_core) 플러그인을 활용하는 것이 좋습니다. | 설명서 | |
| sn_SE10480 | 1 | 제안 | 베이스라인 CISO 역할에 쓰기 액세스 권한 있음 | 보안 인시던트 기록에 대한 쓰기 권한이 필요하지 않은 고위 경영진 사용자는 이러한 기록을 편집할 수 있습니다. | 고위 경영진 사용자가 실제로 보안 인시던트 기록을 편집/쓸 수 있는 기능을 필요로 하는지 여부를 논의합니다. 고위 경영진이 보안 인시던트 기록에 대한 쓰기/편집 권한을 필요로 하지 않는 경우 ".ciso"sn_si에서 "sn_si.basic" 역할을 분리하는 것이 좋습니다. | 설명서 | |
| sn_SE10483 | 1 | Act | 보안 인시던트 할당 그룹에 유형 속성이 없습니다. | 이러한 그룹의 사용자는 자신에게 보안 인시던트를 할당할 수 없습니다. | 현재 역할 "sn_si.analyst"가 할당된 그룹에는 "보안 인시던트"로 정의된 유형 속성이 있어야 합니다. | 설명서 | |
| sn_SE10491 | 1 | Recommend | 보안 인시던트 응답에 대한 API 호출은 "sn_si.integration_user" 역할을 가진 계정을 사용해야 합니다. | 부적절한 사용자 계정을 사용하면 보안 취약점이 발생할 수 있습니다. | "를sn_si 추가하는 것이 좋습니다.integration_user" 역할을 API를 통해 보안 인시던트[sn_si_incident] 테이블에 액세스하는 각 사용자 계정에 할당합니다. | /api/now/v1/context_doc_url/CSHelp:components-installed-sir | |
| sn_SE10492 | 1 | Recommend | 보고서 ACL 사용 | 보고서 뷰 ACL을 사용하지 않도록 설정하면 사용자는 보고 데이터에 접근할 수 있습니다. | 보고서 뷰 ACL은 보고서 뷰 ACL로 보호되는 보고서를 볼 수 있는 사용자를 제어합니다. | 설명서 | |
| sn_SE10493 | 1 | Recommend | 다수 암호화 키가 존재함 | 이전 키는 제거될 수 있으며 기록 정보는 해독할 수 없는 상태로 암호화됩니다. | 새 키를 회전하고 암호화하여 이전 키와 함께 이전 기록이 없도록 합니다. | 설명서 | |
| sn_SE10494 | 1 | Recommend | 지식베이스 및 문서는 공개됩니다. | 모든 사용자는 지식베이스와 문서에 접근할 수 있습니다. | 지식베이스 및 문서에 대한 사용자 기준을 정의해야 합니다. | 설명서 | |
| sn_SE10522 | 1 | Recommend | 보안이 활성화되지 않은 스크립팅된 REST 자원 | API를 공개하면 공개 액세스가 인스턴스의 데이터를 업데이트할 수 있으므로 API를 공개하는 것은 권장되지 않습니다. | 인증을 요구하려면 인증 필요 확인란을 선택한 다음 ACL 인증 필요 확인란을 선택합니다. 마지막으로 ACL 기록을 선택합니다. 상위 API에서 기본 ACL을 적용하려면 ACL 필드를 비워 둡니다. 일치하는 ACL 기록이 하나 이상 있으면 접근 권한이 부여됩니다. | 설명서 | |
| sn_SE10523 | 1 | Recommend | IP 범위 기반 인증 사용 | 권한 없는 사용자가 인스턴스에 액세스할 수 있습니다. |
|
설명서 | |
| sn_SE10534 | 1 | Act | 추적한 구성 파일에 암호, API 토큰 및 비밀 키가 노출될 수 있음 | itil 역할을 가진 사용자는 암호, API 토큰 및 비밀 키에 대해 인증되지 않은 액세스 권한을 가질 수 있습니다. | 테이블로 이동하고 보안 정보가 있는지 확인하여 추적된 구성 파일을 검토합니다.cmdb_ci_config_file_tracked ACL을 통해 이 테이블에 대한 액세스를 제어하거나 보안 자격 증명 정보가 일반 텍스트로 저장되지 않도록 암호를 볼트 애플리케이션을 사용하도록 애플리케이션을 다시 구현합니다. | 설명서 | |
| sn_SE10541 | 1 | Act | 역할, 스크립트 및 조건 없이 정의된 ACL | 역할, 보안 속성, 스크립트 및 조건이 비어 있는 경우 기본 동작으로 데이터가 노출될 수 있습니다. | ACL을 검토하고 적절한 역할, 보안 속성, 조건 또는 스크립팅을 추가합니다. 최소한 ACL을 그대로 유지해야 하는 경우 ACL 스크립트에 다음을 추가하여 인증된 사용자만 데이터에 액세스할 수 있도록 합니다. answer = gs.getSession().isLoggedIn;. | 설명서 | |
| sn_SE10585 | 1 | Recommend | 지식베이스 사용자 기준의 잠재적 잘못된 구성 | 사용자가 의도하지 않고 인증되지 않은 KB 문서에 대한 액세스 권한을 받을 수 있습니다. | 시스템 속성 glide.knowman.block_access_with_no_user_criteria 을 생성하고 값을 true로 설정합니다. | 설명서 | |
| sn_SE10594 | 1 | Recommend | 인증되지 않은 사용자의 비공개 지식베이스에 대한 접근 차단 | 기밀 또는 PII 정보의 잠재적 손실 | glide.knowman.block_access_with_no_user_criteria 시스템 속성의 값을 업데이트하거나 true 이 시스템 속성을 true. | 설명서 | |
| sn_SE10639 | 1 | Recommend | KB의 '기고할 수 있음' 목록에 캡슐화된 모든 사용자는 모든 KB를 읽을 수 있습니다. | 사용자가 의도하지 않고 인증되지 않은 KB 문서에 대한 액세스 권한을 받을 수 있습니다. | 시스템 속성 glide.knowman.apply_article_read_criteria 을 생성하고 값을 true로 설정합니다. | 설명서 | |
| sn_SE10640 | 1 | Recommend | "초안 상태"에 있는 KB 문서를 볼 수 있는 역할 목록을 정의합니다. | 사용자가 의도하지 않고 인증되지 않은 KB 문서에 대한 액세스 권한을 받을 수 있습니다. | 시스템 속성 glide.knowman.section.view_roles.draft 를 생성하고 값을 admin, knowledge_admin로 설정합니다. | 설명서 | |
| sn_SE10641 | 1 | Recommend | 정의된 역할 내의 모든 사용자는 사용자 지정 상태로 존재하는 문서를 볼 수 있습니다. | 사용자가 의도하지 않고 인증되지 않은 KB 문서에 대한 액세스 권한을 받을 수 있습니다. | 시스템 속성 glide.knowman.section.view_roles.stagesAndRoles 를 생성하고 값을 admin, knowledge_admin로 설정합니다. | 설명서 | |
| sn_SE10642 | 1 | Recommend | 게시되지 않은 문서 표시 | 사용자는 아직 게시되지 않은 KB 문서를 볼 수 있습니다. | 시스템 속성 glide.knowman.show_unpublished 을 생성하고 값을 false로 설정합니다. | 설명서 | |
| sn_SE10643 | 1 | Act | ACL은 사용자 인증을 확인하고 시스템 속성을 참조하여 액세스를 허용하거나 거부합니다. | 인증되지 않은 액세스를 허용하면 조직이 데이터 침해, 규정 미준수 및 보안 위험에 노출될 수 있습니다. | 시스템 속성이 glide.security.allow_unauth_roleless_acl 인증되지 않은 액세스를 방지하도록 false 설정되어 있는지 확인합니다. | 설명서 | |
| sn_SE10644 | 1 | Recommend | '검토' 상태인 KB 문서를 볼 수 있는 역할 목록을 정의합니다. | 사용자가 의도하지 않고 인증되지 않은 KB 문서에 대한 액세스 권한을 받을 수 있습니다. | 시스템 속성 glide.knowman.section.view_roles.review 를 생성하고 값을 admin,knowledge_admin,knowledge,itil로 설정합니다. | 설명서 | |
| sn_SE10645 | 1 | Recommend | 기본적으로 인증되지 않은 액세스를 방지하기 위한 비활성 OOB 비즈니스 규칙 | 사용자가 의도하지 않고 인증되지 않은 KB 문서에 대한 액세스 권한을 받을 수 있습니다. | 비즈니스 규칙 검색 게스트 사용자를 SysId가 6c8ec5147711111016f35c207b5a9969인 지식베이스로 제한하고 활성 필드를 예로 설정합니다. | 설명서 |