허용 목록 패키지 호출 확인(인스턴스 보안 강화)
sys_whitelist_package 테이블에서 필요에 따라 포함 목록 패키지 호출 항목을 검토하고 제거합니다.
패키지 호출 항목은 적절한 유효성 검증 없이 서버 측의 Java 자원에 액세스하여 애플리케이션 기반 작업을 수행할 수 있습니다. 고객 데이터의 무단 공개 또는 변경을 유발할 수 있기 때문에 심각한 보안 문제가 발생합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 테이블 이름 | sys_whitelist_package 주: 최신 릴리스에서는 관리자만 고객 서비스 및 지원 이 테이블에 접근할 수 있습니다. 관리자도 접근할 수 없습니다. |
| 구성 유형 | 테이블 |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | 이 테이블에서 항목을 검토하고 제거하려면 |
| 권장 값 | 테이블에 기록이 없어야 합니다(목록은 비어 있어야 함). |
| 기능적 영향 | (낮음) 패키지 호출 제거 도구를 실행한 결과를 검토하고 승인하는 한 영향이 없어야 합니다. 인스턴스가 제대로 작동하도록 하려면 프로덕션 환경에 배포하기 전에 비프로덕션 환경에서 변경 내용을 테스트합니다. 자세한 내용은 패키지 호출 제거 도구 문서를 참조하십시오. |
| 보안 위험 | 서버에서 데이터 검색 또는 개체 액세스를 초래하는 (높은) 클라이언트 측 API 호출은 보안 관점에서 위험한 것으로 간주됩니다. 중요한 개체 액세스의 권한 부여 및 제한에 대해 이러한 항목의 유효성을 검사합니다. |
| 임시 해결책 | 도움이 필요하면 ServiceNow 지원팀에 문의하십시오. |
구성 단계
- 패키지 호출 제거 도구 플러그인을 활성화합니다. 자세한 내용은 패키지 호출 제거 도구를 참조하세요.
- 필터 탐색기를 사용하여 패키지 호출 제거 유틸리티로 이동합니다.
- (1)에서 (4)까지 각 스크립트를 클릭합니다. 출력을 기다린 후 다음 출력으로 진행합니다.
- 스크립트(4)를 실행하면 영향을 받는 필드 목록이 패키지 호출 항목 페이지에 나타납니다.
- 제안됨 및 오류 섹션의 모든 항목을 해결합니다.주:이 도구는
sa_mapping_ext_commands및 sa_custom_operation에서 사용되는 일부 패키지 호출을 보고할 수있습니다. 이러한 패키지 호출은 MID Server에 속합니다. 클래스가 없기 때문에 코드는 MID Server에서 실행됩니다. 오류 섹션에서 다음 패키지 호출을 찾으면 거부됨 (무시됨)으로 표시합니다. 이 도구는 해당 패키지 호출을 다시 보고하지 않습니다.Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);Packages.com.snc.sw.commands.HttpCallHandler입니다.Packages.com.snc.sw.dto.ProviderType.SSH
- 추가 수정을 위해 지원팀에 문의하세요 ServiceNow .