| Exigir autorização para solicitações SOAP [Atualizado na Central de segurança 1.3, 1.5 e 2.0] |
- Novo nome da configuração técnica: glide.basicauth.required.soap, glide.soap.require_ws_security
- Nome antigo da configuração técnica: glide.basicauth.required.soap
- Nova descrição: a propriedade glide glide.basicauth.required.soap controla se a autenticação básica é necessária para fazer uma solicitação SOAP para uma instância. Se glide.basicauth.required.soap não estiver definido com o valor recomendado de verdadeiro, os usuários não autenticados que executam operações SOAP serão mapeados para o usuário soap.guest. Isso pode permitir que um usuário não autenticado execute operações na instância como se fosse um usuário conectado à instância. Pode haver um impacto adicional se funções adicionais forem atribuídas ao usuário definido em com.glide.soap.guest_user.
- Descrição antiga: a propriedade glide glide.basicauth.required.soap controla se a autenticação é necessária para fazer uma solicitação SOAP para uma instância. Se glide.basicauth.required.soap não estiver definido com o valor recomendado de verdadeiro, a autenticação será desabilitada para solicitações SOAP na instância. Permite acesso não autenticado a operações de nível de administrador ou de manutenção; negando assim os controles de segurança na instância.
- Nova correção: certifique-se de que a propriedade glide.basicauth.required.soap esteja definida com o valor verdadeiro. Como alternativa, configure a instância da segurança WS definindo a propriedade glide.soap.require_ws_security como verdadeira e seguindo a documentação do produto para configurar os perfis de segurança WS.
- Correção antiga: certifique-se de que a propriedade glide.basicauth.required.soap exista na tabela sys_properties e esteja definida como verdadeira.
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Escapar script Jelly [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição: esta propriedade faz o escape de todas as cadeias de caracteres JS e HTML incluídas em antes de serem gravadas no fluxo de saída, evitando a ocorrência de vários problemas de XSS. Se glide.ui.escape_all_script não estiver definido com o valor recomendado de verdadeiro, o escape de scripts injetados no Jelly será desabilitado. Sem essa mitigação, a plataforma se torna amplamente aberta a uma variedade de ataques de injeção de script. Um invasor pode executar scripts Rhino arbitrários na instância.
- Descrição antiga: a propriedade a seguir faz o escape de todas as cadeias de caracteres JS e HTML incluídas em<j:jelly> ...</j:jelly> antes de serem gravados no fluxo de saída, evitando a ocorrência de vários problemas de XSS. Se glide.ui.escape_all_script não estiver definido com o valor recomendado de "verdadeiro", o escape de scripts injetados no Jelly será desabilitado. Sem essa mitigação, a plataforma se torna amplamente aberta a uma variedade de ataques de injeção de script. Um invasor pode executar scripts Rhino arbitrários na instância.
|
| Impedir que os usuários aceitem um aviso para ignorar a validação de CSRF [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Impedir que os usuários aceitem um aviso para ignorar a validação de CSRF
- Descrição resumida antiga: Impor validação estrita de token CSRF
- Nova descrição: esta propriedade impede que os usuários aceitem um aviso, o que permite que uma solicitação potencialmente mal-intencionada seja enviada para a instância. Este aviso aparece quando uma solicitação POST falha devido a um token anti-CSRF incompatível pertencente a uma das outras sessões ativas da vítima. Se glide.security.csrf.strict.validation.mode não estiver definido com o valor recomendado de verdadeiro, um invasor poderá formular um ataque de CSRF usando um token anti-CSRF vazado de uma sessão ativa diferente pertencente à vítima.Uma solicitação POST para uma instância contém um token anti-CSRF em sysparm_ck ou X-UserToken que corresponde à sessão atual do usuário. Se o token anti-CSRF estiver vinculado a uma das outras sessões ativas do usuário, a solicitação POST retornará um redirecionamento 302 para security_interceptor.do com um botão Continuar disponível para o usuário quando esta propriedade estiver definida como falsa. Clicar neste botão enviará novamente a solicitação para a instância, exceto que agora ela terá um token anti-CSRF válido. Quando esta propriedade estiver definida como verdadeira, o redirecionamento 302 para a página security_interceptor.do não exibirá um botão Continuar e o usuário não terá permissão para reenviar a solicitação. Um ataque CSRF bem-sucedido permitirá que um invasor execute efetivamente qualquer operação que o a vítima é capaz de executar.
- Descrição antiga: esta propriedade habilita a validação estrita do token CSRF, o que evita a reutilização de tokens CSRF. Se glide.security.csrf.strict.validation.mode não estiver definido com o valor recomendado de verdadeiro, os tokens CSRF poderão ser reutilizados, o que abre uma porta para ataques de CSRF.
- Nova pontuação do CVSS: 3,7
- Pontuação antiga do CVSS: 3,1
|
| Exigir autenticação no processador HTTP da Gestão de eventos [Novo na Central de segurança 1.3, atualizado na 1.5 e removido na 2.0] |
- Nova descrição resumida: Exigir autenticação no processador HTTP da Gestão de eventos
- Descrição resumida antiga: Exigir autenticação no processador HTTP da Gestão de eventos
|
| Habilitar token anti-CSRF [Novo na Central de segurança 1.3, atualizado na 1.5 e removido na 2.0] |
- Nova descrição: CSRF (Cross-Site Request Forgery, falsificação de solicitação entre sites) é um ataque que força usuários autenticados a enviar uma solicitação para uma aplicação Web na qual eles estão autenticados no momento. Os ataques de CSRF exploram a confiança que uma aplicação Web tem em um usuário autenticado. Esta propriedade permite o uso de um token seguro para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites. Se glide.security.use_csrf_token não estiver definido com o valor recomendado de verdadeiro, o CSRF será possível.
- Descrição antiga: CSRF (Cross-Site Request Forgery, falsificação de solicitação entre sites) é um ataque que força usuários autenticados a enviar uma solicitação para uma aplicação Web na qual eles estão autenticados no momento. Os ataques de CSRF exploram a confiança que uma aplicação Web tem em um usuário autenticado. Esta propriedade permite o uso de um token seguro para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites. Se glide.security.use_csrf_token não estiver definido com o valor recomendado de verdadeiro, o CSRF será possível.
|
| Habilitar o limpador de HTML no Virtual Agent [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como habilitar a limpeza de HTML no Virtual Agent
- Descrição resumida antiga: Como habilitar a limpeza de HTML
- Nova descrição: esta propriedade controla se o HtmlSanitizerService está habilitado. Se com.glide.cs.html.sanitizer.enabled não estiver definido como verdadeiro, um ataque de script entre sites armazenados (XSS) será possível no cliente web do VA.
- Descrição antiga: esta propriedade controla se o HTMLSaitezerService está habilitado. Se com.glide.cs.html.sanitizer.enabled não estiver definido como verdadeiro, um ataque de script entre sites armazenados (XSS) será possível no cliente web do VA.
|
| Negação de acesso interno a funções externas explícitas [Atualizado na Central de segurança 1.3 e 1.5] |
|
| Exigir autorização para solicitação de WSDL [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição: se glide.basicauth.required.wsdl não estiver definido com o valor recomendado de verdadeiro, isso desabilitará a Autenticação básica para solicitações de WSDL. WSDL é um protocolo usado para descrever serviços Web, como esquemas de tabela de instância, e não é um mecanismo para compartilhar os dados em tabelas. Definir esta propriedade como verdadeira permite a divulgação de esquemas de tabela para usuários não autenticados.
- Descrição antiga: se glide.basicauth.required.wsdl não estiver definido com o valor recomendado de verdadeiro, isso desabilitará a Autenticação básica para solicitações de WSDL. Isso pode levar à divulgação de informações para usuários não autenticados.
- Nova pontuação do CVSS: 5,3
- Pontuação antiga do CVSS: 4,3
|
| Impor verificação da lista de permissões de URL [Atualizado na Central de segurança 1.3, 1.5 e 2.0] |
Script de regra: o script foi atualizado para melhorar a precisão da detecção. |
| Definir tipos MIME para download restritos [Atualizado na Central de segurança 1.3, 1.5 e 2.0] |
- Nova descrição resumida: Como definir tipos MIME restritos para download
- Descrição resumida antiga: Como restringir tipos MIME para download
- Nova descrição: se glide.ui.attachment.download_mime_types incluir itens perigosos, como text/html,image/svg,image/svg+xml,application/xml, arquivos perigosos poderão ser renderizados em linha no navegador, o que poderá levar a ataques de script entre locais (XSS) ). Esta propriedade é a lista de tipos de mime de anexo separados por vírgula que não serão renderizados em linha no navegador. Por exemplo, incluir texto/html forçará os arquivos HTML a serem baixados para o cliente como anexos, em vez de exibidos em linha no navegador. Manter esta lista corretamente impedirá ataques de script entre sites.
- Descrição antiga: se glide.ui.attachment.download_mime_types incluir itens perigosos, como text/html,image/svg,image/svg+xml,application/xml, arquivos perigosos poderão ser renderizados em linha no navegador, o que poderá levar a ataques de script entre sites (XSS ). Esta propriedade é a lista de tipos de mime de anexo separados por vírgula que não serão renderizados em linha no navegador. Por exemplo, incluir texto/html forçará os arquivos html a serem baixados para o cliente como anexos, em vez de exibidos em linha no navegador. Manter esta lista corretamente impedirá ataques de script entre sites.
|
| Escapar HTML em exibições de lista [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição: esta propriedade ajuda a limpar a exibição de lista de campos HTML. Se glide.ui.escape_html_list_field não estiver definido com o valor recomendado de verdadeiro, um usuário mal-intencionado poderá injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário. Isso pode ser aproveitado por invasores para roubar informações da sessão e dados confidenciais.
- Descrição antiga: a propriedade a seguir ajuda a limpar a exibição de lista de campos HTML. Se glide.ui.escape_html_list_field não estiver definido com o valor recomendado de verdadeiro, um usuário mal-intencionado poderá injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário. Isso pode ser aproveitado por invasores para roubar informações da sessão e dados confidenciais.
|
| Restringir domínios de e-mail para registro de usuário externo [Atualizado na Central de segurança 1.3, 1.5 e 2.0] |
- Nova descrição resumida: Restringir domínios de e-mail para registro de usuário externo
- Descrição resumida antiga: Restringir domínios de e-mail para registro de usuário externo (aplicabilidade do plug-in: registro de usuário externo)
- Nova descrição: a propriedade sn_ext_usr_reg.allowed_email_domains define quais endereços de e-mail têm permissão para se registrar automaticamente em uma instância da ServiceNow. Se sn_ext_usr_reg.allowed_email_domains não estiver definido com uma lista de domínios aceitáveis, os usuários com qualquer endereço de e-mail terão permissão para registrar contas nas instâncias. Se não for definido, os agentes mal-intencionados poderão executar o registro usando endereços de e-mail de domínios indesejados para obter acesso autenticado à instância.
- Descrição antiga: se sn_ext_usr_reg.allowed_email_domains não estiver definido com uma lista de permissões de domínios aceitáveis, os agentes mal-intencionados poderão executar o registro usando endereços de e-mail de domínios indesejados.
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Habilitar Captcha para registro de usuário externo [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Habilitar Captcha para registro de usuário externo
- Descrição resumida antiga: Habilitar Captcha para registro de usuário externo (aplicabilidade do plug-in: registro de usuário externo)
- Script de regra: o script foi atualizado para melhorar a precisão da detecção
|
| Como minimizar a duração da expiração do link de registro de usuário externo [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como minimizar a duração de expiração do link de registro de usuário externo
- Descrição resumida antiga: Como minimizar a duração de expiração do link de registro de usuário externo (aplicabilidade do plug-in: registro de usuário externo)
- Script de regra: o script foi atualizado para melhorar a precisão da detecção
|
| Proibir download de arquivo infectado [Atualizado na Central de segurança 1.5 e 2.0] |
- Nova descrição resumida: Como proibir o download de arquivo infectado
- Descrição resumida antiga: Como proibir o download de arquivos infectados
- Nova correção: certifique-se de que a propriedade com.glide.snap.infected_download_allowed esteja definida como falsa.
- Correção antiga: certifique-se de que a propriedade com.glide.snap.infected_download_allowed esteja definida como verdadeira.
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Validação do tipo de mime de arquivo no SOAP web service AttachmentCreator [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição: se glide.attachment.enforce_security_validation não estiver definido com o valor recomendado de verdadeiro, não haverá validação para o tipo mime de anexo e arquivos perigosos poderão ser carregados no sistema usando extensões de arquivo incorretas. Quando esta propriedade é definida como verdadeira, os arquivos são carregados com a extensão de tipo de arquivo correta. É uma prática recomendada de segurança validar uploads de arquivo pelo menos com validação de tipo MIME.
- Descrição antiga: se glide.attachment.enforce_security_validation não estiver definido com o valor recomendado de verdadeiro, não haverá validação para o tipo mime de anexo e arquivos perigosos poderão ser carregados no sistema usando extensões de arquivo incorretas. Quando esta propriedade é definida como verdadeira, os arquivos são carregados com a extensão de tipo de arquivo correta. É uma prática recomendada de segurança validar uploads de arquivo pelo menos com validação de tipo MIME.
- Nova correção: certifique-se de que a propriedade glide.attachment.enforce_security_validation esteja definida como verdadeira.
- Correção antiga: certifique-se de que a propriedade glide.attachment.enforce_security_validation esteja definida como verdadeira.
|
| Desabilitar depuração do MultiSSO [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como desabilitar depuração do Multi-SSO
- Descrição resumida antiga: Como desabilitar depuração Multi-SSO (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Como definir endereços IP internos permitidos da ServiceNow [Atualizado na Central de segurança 1.3 e 1.5] |
- Novo nome da configuração técnica: glide.ip.authenticate.strict
- Nome antigo da configuração técnica: glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
- Nova descrição: se glide.ip.authenticate.strict estiver definido como verdadeiro, a equipe e os sistemas internos da ServiceNow só poderão fazer conexões de entrada com a instância a partir de intervalos de IP essenciais. Isso limita a visibilidade da ServiceNow na instância da infraestrutura interna essencial e evita o acesso de funcionários mais amplos da ServiceNow, como a equipe de suporte e de vendas, por meio de redes corporativas. Quando definida como "verdadeira", a propriedade glide.ip.authenticate.allow é usada para conceder conexões de entrada internas da ServiceNow. Se não estiver definido como verdadeiro, um intervalo de IP interno da ServiceNow mais amplo, conforme definido em glide.ip.authenticate.allow, será usado para conceder conexões de entrada internas da ServiceNow.
- Descrição antiga: se glide.ip.authenticate.strict estiver definido como verdadeiro, somente os intervalos de IP especificados em glide.ip.authenticate.allow.secured poderão fazer conexões de entrada com a instância. Esta propriedade contém uma lista somente dos intervalos de IP internos essenciais da ServiceNow (Secure VPN, DC). Se glide.ip.authenticate.allow.secured não estiver definido com o valor recomendado ou a combinação de "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1" ou a lista de valores mais recente "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/ 21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1", que adiciona host local IPv6 a Utah, pode permitir origens não confiáveis fora do SN DataCenter e VPN segura para acessar endpoints de monitoramento confidenciais em instâncias.
- Nova correção: certifique-se de que a propriedade glide.ip.authenticate.allow.secured contenha somente valores confiáveis e que a propriedade glide.ip.authenticate.strict esteja definida como verdadeira.
- Correção antiga: certifique-se de que a propriedade glide.ip.authenticate.allow.secured contenha somente valores em "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139 .0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1" e que a propriedade glide.ip.authenticate.strict está definida como verdadeira.
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Como desativar a expansão de entidade no Analisador de fluxo de XMLDocument2 [Atualizado na Central de segurança 1.5] |
- Nova descrição resumida: Desabilitar expansão de entidade no analisador de fluxo de XMLDocument2
- Descrição resumida antiga: Desabilitar expansão de entidade
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Aplicar separação de domínio em campos de referência com pontos [Atualizado na Central de segurança 1.3, 1.5 e 2.0] |
- Nova descrição resumida: Como aplicar separação de domínio em campos de referência com pontos
- Descrição resumida antiga: Como aplicar separação de domínios em campos de referência com pontos (aplicabilidade do plug-in: separação de domínios)
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Restringir permissões para o modelo do CMDB [Atualizado na Central de segurança 1.3 e 1.5] |
Script de regra: o script foi atualizado para melhorar a precisão da detecção. |
| Exigir a limpeza da área de transferência ao colocar o aplicativo para celular em segundo plano [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição: a propriedade glide.sg.clear_pasteboard_when_backgrounded controla se o texto copiado do aplicativo para celular da ServiceNow é mantido na área de transferência e na área de transferência depois que o aplicativo está no modo de segundo plano. Se não estiver definido com o valor recomendado de verdadeiro, as informações confidenciais poderão ser divulgadas para a área de transferência do Android ou iOS, onde poderão ser expostas a outras aplicações no dispositivo.
- Descrição antiga: a propriedade glide.sg.clear_pasteboard_when_backgrounded controla se o texto copiado do aplicativo para celular da ServiceNow é mantido na área de transferência/área de transferência depois que o aplicativo não está mais em foco. Se não estiver definido com o valor recomendado de verdadeiro, as informações confidenciais poderão ser divulgadas para a área de transferência do Android ou iOS, onde poderão ser expostas a outras aplicações no dispositivo.
|
| Como habilitar a recuperação de conta [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como habilitar recuperação de conta
- Descrição resumida antiga: Como habilitar recuperação de conta (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Desativação de mensagens de erro de SQL [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição: se glide.db.loguser não estiver definido com o valor recomendado falso, mensagens de erro confidenciais do lado do servidor poderão ser exibidas para os usuários finais. As mensagens de erro podem incluir rastreamentos de pilha e informações sobre a estrutura do banco de dados que podem fornecer a um invasor o conhecimento necessário para executar uma Injeção de SQL bem-sucedida, caso as pré-condições existam. Como defesa em profundidade, essas mensagens de erro não devem ser exibidas para o usuário final.
- Descrição antiga: se glide.db.loguser não estiver definido com o valor recomendado falso, mensagens de erro confidenciais do lado do servidor poderão ser exibidas para os usuários finais.
|
| Impor links relativos [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição: a propriedade glide.cms.catalog_uri_relative impõe links relativos do parâmetro URI em /ess/catalog.do. Se glide.cms.catalog_uri_relative não estiver definido com o valor recomendado de verdadeiro, o URL não será limpo com a função forceRelativeURL(url). URLs absolutos podem representar um risco à segurança quando usados como parte do parâmetro ou um valor de campo, redirecionando a página de origem para um site controlado por adversários. Esta propriedade afeta o sistema de gestão de conteúdo (CMS) legado, que foi substituído pelo Portal de serviços.
- Descrição antiga: a propriedade glide.cms.catalog_uri_relative impõe links relativos do parâmetro URI em /ess/catalog.do. Se glide.cms.catalog_uri_relative não estiver definido com o valor recomendado de verdadeiro, o URL não será limpo com a função forceRelativeURL(url). URLs absolutos podem representar um risco à segurança quando usados como parte do parâmetro ou um valor de campo, redirecionando a página de origem para um site controlado por adversários.
|
| Como minimizar o limite de expansão da entidade para GlideXMLUtil programável [Atualizado na Central de segurança 1.3, 1.5 e 2.0] |
- Nova descrição resumida: Como minimizar o limite de expansão da entidade para GlideXMLUtil com script
- Descrição resumida antiga: Como minimizar o limite de expansão da entidade
- Nova descrição: esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se glide.xmlutil.max_entity_expansion não estiver definido com o valor recomendado de 3000 ou menos, o script de análise GlideXMLUtil poderá estar vulnerável a ataques de negação de serviço.
- Descrição antiga: esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se glide.xmlutil.max_entity_expansion não estiver definido com o valor recomendado de 3000 ou menos, o analisador de XML poderá estar vulnerável a ataques de negação de serviço.
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Desativação do comportamento legado de limitação de escopo do GlideRecord [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0] |
- Nova descrição: o GlideRecord forneceu acesso de criação/atualização entre escopos para tabelas que não foram configuradas com esse nível de acesso. Para evitar que os clientes tenham aplicações interrompidas quando esse comportamento de acesso com escopo for corrigido, a propriedade glide.record.legacy_cross_scope_access_policy_in_script foi criada. Quando verdadeiro, o acesso entre escopos recai no comportamento legado (inseguro). Esta propriedade desabilita a limitação de escopo, permitindo que as aplicações com escopo acessem interfaces de script global. É prática recomendada de segurança ter restrições de limitação de escopo em vigor. O escopo garante que as aplicações só possam acessar recursos com acesso explícito ou dentro do escopo, seguindo o princípio de privilégio mínimo. Desabilitar este recurso pode levar a impactos na confidencialidade, disponibilidade e integridade.
- Descrição antiga: o comportamento legado fornecia acesso de criação/atualização a tabelas que não o possibilitavam. Para evitar que clientes legados tenham aplicações interrompidas quando este comportamento de acesso com escopo for corrigido, a propriedade glide.record.legacy_cross_scope_access_policy_in_script foi criada. Quando verdadeiro, o acesso entre escopos recai no comportamento legado (inseguro). Esta propriedade desabilita a limitação de escopo, permitindo que as aplicações com escopo acessem interfaces de script global. É prática recomendada de segurança ter restrições de limitação de escopo em vigor. O escopo garante que as aplicações só possam acessar recursos com acesso explícito ou dentro do escopo, seguindo o princípio de privilégio mínimo. Desabilitar este recurso pode levar a impactos na confidencialidade, disponibilidade e integridade.
|
| Como ativar a versão atualizada do plug-in Multi-SSO [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como habilitar a versão atualizada do plug-in Multi-SSO
- Descrição resumida antiga: Como habilitar a versão atualizada do plug-in Multi-SSO (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Habilitar SSL na autenticação LDAP [Atualizado na Central de segurança 1.5 e 2.0] |
O script foi atualizado para melhorar a precisão da detecção. |
| Impor redefinição de senha em solicitações de API [Atualizado na Central de segurança 1.5] |
O script foi atualizado para melhorar a precisão da detecção. |
| Não aplicar política de senha no login [Atualizado na Central de segurança 1.5 e removido na 2.0] |
-
Nova descrição: ao definir a propriedade glide.apply.password_policy.on_login como falsa, não haverá imposição de complexidade de senha no momento do login. Definir a propriedade como verdadeira imporá a complexidade da senha e levará a problemas de conformidade com a política da organização.
De acordo com as recomendações do ASVS 4.03 v2.1.9 :
Verifique se não há regras de composição de senha que limitem o tipo de caracteres permitidos. Não deve haver nenhum requisito para maiúsculas ou minúsculas, números ou caracteres especiais. (C6)
Em vez da imposição de complexidade de senha, as recomendações do ASVS são para impor um tamanho mínimo de 12 caracteres para o comprimento da senha.
Ref: Autenticação OWASP ASVS v4.0
- Descrição antiga:
Ao definir a propriedade glide.apply.password_policy.on_login como falsa, não haverá imposição de complexidade de senha no momento do login. Definir a propriedade como verdadeira imporá a complexidade da senha e levará a problemas de conformidade com a política da organização. De acordo com as recomendações do ASVS 4.03 v2.1.9 : Verifique se não há regras de composição de senha que limitem o tipo de caracteres permitidos. Não deve haver nenhum requisito para maiúsculas ou minúsculas, números ou caracteres especiais. (C6) Em vez da imposição de complexidade de senha, as recomendações do ASVS são para impor um tamanho mínimo de 12 caracteres para o comprimento da senha. Ref: Autenticação OWASP ASVS v4.0
|
| Não usar certificados de demonstração para configurações SAML ativas [Atualizado na Central de segurança 1.5] |
- Nova descrição resumida: Não use certificados de demonstração para configurações SAML ativas
- Descrição resumida antiga: Não use certificados de demonstração para configurações SAML ativas (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Como minimizar a duração da restrição "notBefore" ou "notOnOrAfter" de SAML [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como minimizar a duração da restrição SAML "notBefore" ou "notOnOrAfter"
- Descrição resumida antiga: Como minimizar a duração da restrição SAML "notBefore" ou "notOnOrAfter" (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Bloqueio de tokens anti-CSRF expirados [Atualizado na Central de segurança 1.5] |
- Nova descrição resumida: Como bloquear tokens anti-CSRF expirados
- Descrição resumida antiga: Como bloquear tokens CSRF expirados
|
| Exigência de captcha para walk-up experience de convidados na aplicação Atendimento ao cliente [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como exigir captcha para Walk-up Experience de convidado na aplicação de atendimento ao cliente
- Descrição resumida antiga: Como exigir captcha para Walk-up Experience de convidado na aplicação de atendimento ao cliente (aplicabilidade do plug-in: Walk-up Experience de convidado para atendimento ao cliente)
|
| Verificação da representação na avaliação de ACL no app de RH [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como verificar representação na avaliação da ACL no app de RH
- Descrição resumida antiga: Como verificar representação na avaliação da ACL no app de RH (aplicabilidade do plug-in: app com escopo de Recursos Humanos)
|
| Como restringir atualizações de casos de RH nos e-mails pessoais [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como restringir atualizações de caso de RH de e-mails pessoais
- Descrição resumida antiga: Como restringir atualizações de caso de RH de e-mails pessoais (aplicabilidade do plug-in: app com escopo de Recursos Humanos)
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Habilitar o log de auditoria de MID [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como habilitar log de auditoria do MID
- Descrição resumida antiga: Como habilitar log de auditoria do MID (aplicabilidade do plug-in: MID Server)
|
| Como impor o uso de alias de credencial [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como impor uso de alias de credencial
- Descrição resumida antiga: Como impor uso de alias de credencial (aplicabilidade do plug-in: MID Server)
|
| Fábricas de conexão jms necessárias [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0] |
- Nova descrição resumida: Fábricas de conexão JMS necessárias
- Descrição resumida antiga: Fábricas de conexão JMS necessárias (aplicabilidade do plug-in: MID Server)
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Como limitar o tamanho de anexos em fluxos de treinamento e previsão [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como limitar o tamanho do anexo em fluxos de treinamento e previsão
- Descrição resumida antiga: Como limitar o tamanho do anexo em fluxos de treinamento e previsão (aplicabilidade do plug-in: Inteligência para documentos da plataforma)
|
| Certifique-se de que as ACLs da tabela de arquivamento sejam verificadas [Novo na Central de segurança 1.3 e atualizado na 1.5] |
Script de regra: o script foi atualizado para melhorar a precisão da detecção. |
| Registrar eventos de auditoria de sessão [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição: quando a propriedade do Glide glide.authenticate.session_access.log_audit_event estiver definida como verdadeira, os eventos de auditoria de sessão serão criados na tabela sys_session_access_audit. É prática recomendada registrar informações sobre quem acessou uma sessão para ajudar nas investigações de agentes mal-intencionados. As informações registradas em log incluirão usuário, ID de sessão (não confidencial), endereço IP, funções e políticas.
- Descrição antiga: quando a propriedade do Glide glide.authenticate.session_access.log_audit_event estiver definida como verdadeira, os eventos de auditoria de sessão serão criados na tabela sys_session_access_audit. É prática recomendada registrar informações gerais sobre o acesso à sessão para ajudar nas investigações de agentes mal-intencionados. As informações registradas em log incluirão usuário, ID de sessão (não confidencial), endereço IP, funções e políticas.
|
| Impor acesso por ACL com escopo para playbooks de solicitação de informações [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Impor acesso de ACL com escopo para playbooks de solicitação de informações
- Descrição resumida antiga: Impor acesso de ACL com escopo para playbooks de solicitação de informações
- Script de regra: o script foi atualizado para melhorar a precisão da detecção.
|
| Invalidação proativa de sessões inativas [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0] |
- Nova descrição: a propriedade do Glide glide.active.session.timeout.invalidate.session controla se uma sessão com tempo limite esgotado é invalidada proativamente antes que o contêiner do Tomcat invalide a sessão. Quando esta propriedade não está definida como verdadeira, pode haver um pequeno intervalo de tempo em que uma sessão com tempo limite não é invalidada (mais de 60 segundos, dependendo do tamanho da fila). Se uma sessão for sequestrada, um invasor poderá utilizar uma sessão durante esse pequeno período de tempo.
- Descrição antiga: a propriedade do Glide glide.active.session.timeout.invalidate.session controla se uma sessão de tempo limite é invalidada proativamente antes do contêiner do Tomcat. Quando esta propriedade não está definida como verdadeira, pode haver um pequeno intervalo de tempo em que uma sessão com tempo limite não é invalidada (mais de 60 segundos, dependendo do tamanho da fila). Se uma sessão for sequestrada, um invasor poderá utilizar uma sessão durante esse pequeno período de tempo.
|
| Como limitar o tamanho do corpo da resposta HTTP [Novo na Central de segurança 1.3 e atualizado na 1.5] |
- Nova descrição resumida: Como limitar o tamanho do corpo da resposta HTTP
- Descrição resumida antiga: Como garantir que as respostas HTTP não acionem uma exceção de falta de memória devido ao tamanho do corpo da resposta
|