| SOAP 요청에 대해 인증 필요 |
- 새 정정: Glide 속성 glide.basicauth.required.soap 이 존재하고 예 값으로 설정되어 있는지 확인합니다. 또는 속성 glide.soap.require_ws_security를 예로 설정하고 제품 설명서에 따라 WS 보안 프로파일을 구성하여 WS 보안에 대한 인스턴스를 구성하십시오. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.basicauth.required.soap 이 true 값으로 설정되어 있는지 확인합니다. 또는 속성을 glide.soap.require_ws_security 예로 설정하고 제품 설명서에 따라 WS 보안 프로파일을 구성하여 WS 보안에 대한 인스턴스를 구성하십시오.
|
| 네트워크 오류에 OCSP 검사 강제 적용 |
- 새 정정: 속성 com.glide.communications.httpclient.ocsp_allow_network_error 이 존재하고 false로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 com.glide.communications.httpclient.ocsp_allow_network_error 이 false로 설정되어 있는지 확인합니다.
|
| 외부 콘텐츠 URL 사용 안 함 |
- 새 정정: Glide 속성 glide.ui.url.external.content 이 존재하고 false 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.ui.url.external.content 이 false로 설정되어 있는지 확인합니다.
- 새로운 CVSS 점수: 7.2
- 이전 CVSS 점수: 8.1
- 규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다.
|
| XML 외부 엔터티 제한 |
- 새 정정: Glide 속성 glide.xml.entity.whitelist 이 존재하고 "http://java.sun.com/j2ee/dtds/"으로 설정되어 있고 Glide 속성 glide.xml.entity.whitelist.enabled 이 존재하고 true 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.xml.entity.whitelist 이 "http://java.sun.com/j2ee/dtds/"으로 설정되어 있고 속성이 glide.xml.entity.whitelist.enabled 예로 설정되어 있는지 확인합니다.
|
| 미인증 게시된 보고서 사용 안 함 |
- 새 정정: Glide 속성 glide.report.published_reports.enabled 이 존재하고 false 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.report.published_reports.enabled 이 false로 설정되어 있는지 확인합니다.
|
| 암호 재설정 정책 검사 사용 |
- 새 정정: Glide 속성 glide.enable.password_policy 이 존재하고 예 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.enable.password_policy 이 예로 설정되어 있는지 확인합니다.
|
| GlideXMLUtil 스크립트에 대한 엔터티 확장 임계치 최소화 |
- 새 정정: 속성 glide.xmlutil.max_entity_expansion 이 3000 이하로 설정되어 있는지 확인합니다. 인스턴스가 Washington 이상인 경우 sys_properties 기록이 없으면 기본 암시적 값은 3000입니다. 인스턴스가 Washington이 아닌 경우 인스턴스 관리자가 이름 glide.xmlutil.max_entity_expansion 과 값이 3000인 sys_properties 기록을 생성하는 것이 좋습니다.
- 이전 정정: 속성 glide.xmlutil.max_entity_expansion 이 3000 이하로 설정되어 있는지 확인합니다.
|
| 아웃바운드 SSLv2/SSLv3 연결 사용 안 함 |
- 새 정정: Glide 속성 glide.outbound.sslv3.disabled 이 존재하고 예 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.outbound.sslv3.disabled 이 예로 설정되어 있는지 확인합니다.
중요사항: 속성 값은 glide.outbound.sslv3.disabled 안전한 재정의이며 변경한 후에는 변경할 수 없습니다.
|
| GlideRecord 범위 펜싱 레거시 동작 사용 안 함 |
- 새로운 간단한 설명: GlideRecord 범위 펜싱 레거시 동작 사용 안 함
- 이전 간단한 설명: GlideRecord 범위 펜싱 레거시 동작 사용
|
| 업로드된 MIME 유형 제한 |
- 새 정정: 속성 glide.security.file.mime_type.validation 이 존재하고 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.security.file.mime_type.validation 이 예로 설정되어 있는지 확인합니다.
|
| 내포된 표현식에 Jelly JS 보간 보호 사용 |
- 새 정정: Glide 속성 glide.ui.jelly.js_interpolation.protect_nested_expressions 이 존재하고 예 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.ui.jelly.js_interpolation.protect_nested_expressions 이 예로 설정되어 있는지 확인합니다.
|
| LDAP 인증에 SSL 사용 [보안 센터 1.5 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| UserCookie 버전 3.1 사용 |
- 새 설명: UserCookie v3는 속성 glide.ui.secure.cookies.use_kmf is disabled이 있는 경우에만 생성됩니다. UserCookie v3는 HMAC에 대한 비밀 키를 소스 코드에 저장하고 모든 고객에게 동일하기 때문에 안전하지 않습니다. 이를 통해 악의적인 행위자가 사용자 세션을 하이재킹하려는 시도에 이 하나의 비밀 키를 사용할 수 있습니다. 속성을 glide.ui.secure.cookies.use_kmf 예로 설정하면 UserCookie v3.1이 사용되고 비밀 키가 KMF와 같은 보안 스토리지에 저장됩니다.
- 이전 설명: UserCookie v3는 속성 glide.ui.secure.cookies.use_kmf 이 비활성화된 경우에만 생성됩니다. UserCookie v3는 HMAC에 대한 비밀 키를 소스 코드에 저장하고 모든 고객에게 동일하기 때문에 안전하지 않습니다. 이를 통해 악의적인 행위자가 사용자 세션을 하이재킹하려는 시도에 이 하나의 비밀 키를 사용할 수 있습니다.
- 새 정정: 속성 glide.ui.secure.cookies.use_kmf 이 존재하고 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.ui.secure.cookies.use_kmf 이 예로 설정되어 있는지 확인합니다. 즉, UserCookie v3.1이 사용되며 비밀 키가 KMF와 같은 보안 스토리지에 저장됩니다.
|
| 1시간으로 암호 재설정 OTP 수명 설정[Security Center 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| 사용자 가장 기록 |
- 새 정정: 속성 glide.sys.log_impersonation 이 존재하고 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 속성 glide.sys.log_impersonation 이 예로 설정되어 있는지 확인합니다.
|
| JMS 연결 팩토리 필요 |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| 대시보드 생성/삭제에 액세스 확인이 필요한지 확인 [Security Center 1.3의 새로운 기능 및 2.0에서 업데이트됨] |
- 새 정정: Glide 속성 glide.processors.check_access_before_process 이 존재하고 예 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: 값이 glide.processors.check_access_before_process 항상 예인지 확인합니다.
|
| 정의된 기간 후 사전 예방적으로 세션 무효화 |
- 새 정정: Glide 속성 glide.active.session.timeout.invalidate.session 이 존재하고 예 값으로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
- 이전 정정: Glide 속성을 glide.active.session.timeout.invalidate.session 예로 설정합니다.
|
| HR 케이스 관리용 에이전트 작업 공간의 보안 범위 적용 [보안 센터 1.5의 새로운 기능 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| 보안 범위 라이선스 및 허가 플레이북 적용 [보안 센터 1.5의 새로운 기능 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| 다운로드 가능한 MIME 유형 제한 |
- 새 설명: 속성을 glide.ui.attachment.force_download_all_mime_types 예 glide.ui.attachment.download_mime_types 로 설정하면 모든 MIME 유형이 브라우저에서 렌더링되지 않고 다운로드되도록 속성이 재정의됩니다. 예를 들어 텍스트/html을 다운로드하면 HTML 파일을 브라우저에서 인라인으로 않고 파일로 클라이언트에 다운로드하여 XSS 공격을 방지합니다. XSS는 더 많은 측 이동이 가능한 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다.
- 이전 설명: 속성을 glide.ui.attachment.force_download_all_mime_types 예 glide.ui.attachment.download_mime_types 로 설정하지 않으면 모든 MIME 유형이 브라우저에서 렌더링되지 않고 다운로드되도록 속성이 재정의됩니다. 예를 들어 텍스트/html을 다운로드하면 HTML 파일을 브라우저에서 인라인으로 않고 파일로 클라이언트에 다운로드하여 XSS 공격을 방지합니다. XSS를 사용할 수 있는 기능은 더 많은 측 이동이 가능한 관리자와 같은 더 높은 역할로 쉽게 얻을 수 있는 권한 에스컬레이션으로 이어질 수 있습니다.
- 새 정정: 속성 glide.ui.attachment.force_download_all_mime_types 이 true로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 없으면 기본값은 false입니다.
- 이전 정정: 속성 glide.ui.attachment.force_download_all_mime_types 이 예로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다.
|
| 제한된 다운로드 가능한 MIME 유형 정의[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| 감염된 파일 다운로드 허용 안 함 |
- 새 설명: 속성을 com.glide.snap.infected_download_allowed 예로 설정하면 바이러스 백신 서비스가 다운되거나 연결할 수 없는 경우 사용자가 검사되지 않은 첨부 파일을 계속 다운로드할 수 있습니다. 즉, 사용자가 악성 파일을 다운로드하여 사용자의 데스크톱을 감염시킬 위험이 있습니다(장치에 다른 엔드포인트 보호가 없는 경우).
- 이전 설명: 권장 값인 False로 설정되지 않은 경우 com.glide.snap.infected_download_allowed 검사되지 않은 악성 파일을 다운로드하여 사용자의 데스크톱을 감염시킬 위험이 있습니다.
- 새 정정: 속성 com.glide.snap.infected_download_allowed 이 false로 설정되어 있는지 확인합니다.
- 이전 정정: 속성 com.glide.snap.infected_download_allowed 이 False로 설정되어 있는지 확인합니다.
|
| GlideSystemUserSession 스크립팅 가능한 API에 접근 제한 |
- 새 설명: gs.addErrorMessageNoSanitizationMessaging() 및 gs.addInfoMessageNoSanitization() 은 스크립팅 환경 내에서 로깅 및 알림을 위해 사용됩니다. 이 속성이 권장 값인 false로 설정되지 않은 경우 샌드박스에서 이 두 가지 모두를 사용할 수 있습니다. 샌드박스는 인증되지 않고 역할이 없는 사용자가 사용할 수 있는 낮은 권한의 스크립팅 환경입니다. 이 두 메서드 모두 사용자에게 삭제되지 않은 입력을 표시하는 데 사용할 수 있습니다. 삭제되지 않은 입력에는 사용자의 브라우저에서 실행되는 위험한 코드가 포함될 수 있으므로 사용자에게 삭제되지 않은 입력을 표시하는 것은 위험합니다. 이는 기존의 반사형 XSS 공격에 활용될 수 있습니다. 반사된 XSS 공격은 세션 하이재킹을 포함하여 여러 시나리오에서 사용될 수 있습니다.
- 이전 설명: Glide 스크립팅 샌드박스 내의 메시징은 로깅 목적으로 사용됩니다. 이 삭제되지 않은 오류 함수를 호출하면 플랫폼이 반영된 XSS 공격에 노출됩니다. XSS 공격은 다른 사람의 세션 쿠키를 훔쳐 쉽게 권한 상승을 허용할 수 있습니다. 권장 값인 false로 설정되지 않은 경우 glide.sandbox.usersession.allow_unsanitized_messages 삭제되지 않은 오류 메시징 함수 addErrorMessageNoSanitization 및 addInfoMessageNoSanitization 을 스크립트에 사용할 수 있습니다.
|
| 서비스 조직에 대한 작업 주문 관리 쿼리 규칙 활성화 |
- 새 설명: 예로 설정하면 sn_query_rule 테이블의 규칙/필터가 비즈니스 규칙 쿼리 및 읽기 ACL을 통해 로그인한 사용자에게 현장 서비스 관리 관련 테이블(작업 주문 및 작업 주문 작업)에 대한 읽기 권한을 결정하는 데 사용됩니다. 아니오인 경우 쿼리 규칙에 따라 기록이 필터링되지 않습니다. 쿼리 비즈니스 규칙은 추가 보안 확인을 추가합니다. 특히 이 속성은 할당된 영역 또는 영역 구성원 자격을 기준으로 에이전트, 한정자 및 디스패처에 대한 기록을 필터링합니다. 기록을 읽을 때는 최소 권한의 원칙을 따르는 것이 가장 좋습니다. 이 속성을 예로 설정하지 않으면 현장 서비스 관리 테이블에서 데이터가 노출될 위험이 증가할 수 있습니다.
- 이전 설명: 예로 설정하면 sn_query_rule 테이블의 규칙/필터가 비즈니스 규칙 쿼리 및 읽기 ACL을 통해 로그인한 사용자에게 현장 서비스 관리 관련 테이블(작업 주문 및 작업 주문 작업)에 대한 읽기 권한을 결정하는 데 사용됩니다. 아니오인 경우 쿼리 규칙에 따라 기록이 필터링되지 않습니다. 쿼리 비즈니스 규칙은 추가 보안 확인을 추가합니다. 특히 이 속성은 할당된 영역 또는 영역 구성원 자격을 기준으로 에이전트, 한정자 및 디스패처에 대한 기록을 필터링합니다. 기록을 읽을 때는 최소 권한의 원칙을 따르는 것이 가장 좋습니다.
|
| 외부 사용자 등록을 위한 이메일 도메인 제한 [보안 센터 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새 설명: 이 속성은 sn_ext_usr_reg.allowed_email_domains ServiceNow 인스턴스에 직접 등록할 수 있는 이메일 주소를 정의합니다. 형식은 example@domain2.com 와 같은 이메일이 허용되는 허용되는 이메일 도메인(예: domain1.com, domain2.com)의 쉼표로 구분된 목록이어야 합니다. 허용 가능한 도메인 목록으로 설정되지 않은 경우 sn_ext_usr_reg.allowed_email_domains 이메일 주소가 있는 사용자는 인스턴스에 계정을 등록할 수 있습니다. 정의되지 않은 경우 악의적인 행위자는 원치 않는 도메인의 이메일 주소를 사용하여 등록을 수행하여 인스턴스에 대한 인증된 액세스 권한을 얻을 수 있습니다.
- 이전 설명: 이 속성은 sn_ext_usr_reg.allowed_email_domains ServiceNow 인스턴스에 직접 등록할 수 있는 이메일 주소를 정의합니다. 허용 가능한 도메인 목록으로 설정되지 않은 경우 sn_ext_usr_reg.allowed_email_domains 이메일 주소가 있는 사용자는 인스턴스에 계정을 등록할 수 있습니다. 정의되지 않은 경우 악의적인 행위자는 원치 않는 도메인의 이메일 주소를 사용하여 등록을 수행하여 인스턴스에 대한 인증된 액세스 권한을 얻을 수 있습니다.
|
| 닷워킹 필드에 도메인 분리 적용 |
- 새 설명: 이 속성은 닷워킹 필드에 도메인 분리 기능을 적용하기 위해 조인 쿼리에 도메인 분리 조건이 부여되는지 여부를 제어합니다. glide.sys.domain.include_domain_condition_on_join 도메인 분리를 사용하는 인스턴스에서 권장 값인 예로 설정되지 않으면 특정 도메인과 공유할 수 없는 중요한 정보가 공개될 수 있습니다. 구성요소가 안전하지 않은 교차 도메인 쿼리에 의존하는 경우 인스턴스에 보통 정도의 기능적 영향이 있을 수 있습니다. 인스턴스는 활성화하기 전에 하위 프로덕션 환경에서 테스트해야 합니다.
- 이전 설명: 이 속성은 닷워킹 필드에 도메인 분리 기능을 적용하기 위해 조인 쿼리에 도메인 분리 조건이 부여되는지 여부를 제어합니다. glide.sys.domain.include_domain_condition_on_join 도메인 분리를 사용하는 인스턴스에서 권장 값인 예로 설정되지 않으면 특정 도메인과 공유할 수 없는 중요한 정보가 공개될 수 있습니다.
|
| URL 허용 목록 검사 강제 적용 |
- 새 정정: 속성 glide.security.url.whitelist.strict_check 이 true로 설정되어 있는지 또는 속성 glide.security.url.whitelist 이 값으로 설정되어 있는지 확인합니다.
- 이전 정정: 속성 glide.security.url.whitelist.strict_check 이 "예"로 설정되어 있고 속성 glide.security.url.whitelist 이 값으로 설정되어 있는지 확인합니다.
|
| SOAP 요청의 게스트 사용자 설정 |
규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다. |
| 백그라운드 스크립트에 접근 제한 |
- 새 설명: 이 속성에는 스크립트 백그라운드 모듈에 액세스하는 데 필요한 역할이 있습니다. glide.script_processor.admin 관리자의 권장 값 및 기본값으로 설정되지 않은 경우 권한이 더 낮은 사용자가 인스턴스에서 백그라운드 스크립트를 실행할 수 있습니다. 이렇게 하면 ACL 시스템을 완전히 바이패스하여 테이블에 대한 전체 액세스가 허용됩니다.
- 이전 설명: 이 속성에는 스크립트 백그라운드 모듈에 액세스하는 데 필요한 역할이 있습니다. glide.script_processor.admin 이 관리자, security_admin 또는 유지관리의 권장 값으로 설정되지 않은 경우 권한이 더 낮은 사용자가 인스턴스에서 백그라운드 스크립트를 실행할 수 있습니다. 이렇게 하면 ACL 시스템을 완전히 바이패스하여 테이블에 대한 전체 액세스가 허용됩니다.
- 새 정정: 속성 glide.script_processor.admin 이 관리자로 설정되어 있는지 확인합니다. 인스턴스에서 기본값입니다.
- 이전 정정: 속성 glide.script_processor.admin 이 관리자, security_admin 또는 유지관리 역할로 설정되어 있는지 확인합니다.
|
| 인증 체인 및 호스트 이름 확인 |
- 새 설명: Glide 속성 com.glide.communications.httpclient.verify_hostname 이 보안 값인 예로 설정되지 않은 경우 ServiceNow 인스턴스에서 시작된 TLS 연결 중에 원격 호스트가 제공하는 호스트 이름 및 인증서 체인의 유효성이 확인되지 않습니다. 이로 인해 TLS 연결의 보안이 손상되고 두 당사자 간의 통신을 가로채는 중간자 공격이 허용될 수 있습니다. 이로 인해 민감한 데이터가 공개될 수 있습니다.
- 이전 설명: com.glide.communications.httpclient.verify_hostname 예로 설정되지 않으면 두 당사자 간의 통신을 가로채는 중간자 공격이 허용될 수 있습니다. 이 속성을 안전하지 않은 값으로 설정하면 해지 상태 확인을 통해 인증서 체인의 모든 인증을 평가하는 인증서 검증 프로세스가 비활성화됩니다. http 클라이언트가 유해할 가능성이 있는 호스트 이름에 연결하지 못하도록 하려면 이 속성을 예로 설정합니다.
|
| 잘못된 암호 재설정 시도에 대한 잠금 시간 통제 |
- 새로운 간단한 설명: Control Lockout Time for Invalid Password Reset Attempts
- 이전 간단한 설명: Minimize Reset Password Request Max Attempts Window Duration
- 새 설명: 이 password_reset.request.max_attempt_window 속성은 사용자가 다음으로 password_reset.request.max_attempt property설정된 최대 실패 시도 횟수를 초과한 후 암호를 재설정하거나 변경하기 위해 기다려야 하는 시간(분)을 정의합니다. 속성의 password_reset.request.max_attempt_window 시간이 짧으면 암호 재설정을 더 많이 시도할 수 있으므로 무차별 암호 대입이 성공할 위험이 높아집니다. 기본값은 1440분입니다.
- 이전 설명: 권장 값인 1440 이하로 설정되지 않은 경우 password_reset.request.max_attempt_window 잘못된 인증 시도 최대 횟수 후에 계정이 잠기지 않으므로 계정 무차별 암호 대입을 수행할 수 있습니다.
- 새 정정: 속성 password_reset.request.max_attempt_window 이 1440 이상으로 설정되어 있는지 확인합니다.
- 이전 정정: 속성 password_reset.request.max_attempt_window 이 1440 이하로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상시키기 위해 스크립트가 업데이트되었습니다.
|
| GlideRecord 범위 펜싱 레거시 동작 사용 안 함 |
- 새로운 간단한 설명: Disable GlideRecord Scope Fencing Legacy Behavior
- 이전 간단한 설명: Enable GlideRecord Scope Fencing Legacy Behavior
- 새 정정: Glide 속성을 glide.record.legacy_cross_scope_access_policy_in_script false로 설정합니다. sys_properties 테이블에 표시되지 않는 경우 기본값은 true입니다.
- 이전 정정: Glide 속성을 glide.record.legacy_cross_scope_access_policy_in_script false로 설정합니다.
|
| 잘못된 암호 재설정 시도 제한 |
- 새로운 간단한 설명: Limit Invalid Password Reset Attempts
- 이전 간단한 설명: Minimize Reset Password Request Max Attempt Allowance
|