Mecanismo de varredura Definições: Segurança
Mecanismo de varredura as definições de segurança medem a implementação de protocolos em um ServiceNow instância para evitar acesso não autorizado, violações de dados, ataques cibernéticos e possíveis vulnerabilidades.
Definições da Austrália
As seguintes definições de segurança foram adicionadas para a versão Austrália 2026:
| Número | Ativo | Nível de descoberta | Produto ServiceNow exclusivo | Descrição Resumida | Impacto nos negócios | Etapas para resolver | Documentação de suporte |
|---|---|---|---|---|---|---|---|
| sn_SE10023 | 1 | Act | Os scripts não devem usar a função eval() | Violação de segurança. | Remova o. evalfunção do script. | Documentação | |
| sn_SE10024 | 1 | Act | Os scripts não devem usar a função eval() | Violação de segurança. | Remova o. evalfunção do script. | Documentação | |
| sn_SE10045 | 1 | Act | O plug-in de alta segurança deve estar habilitado | Muitas configurações de segurança serão involuntariamente deixadas em aberto, o que, por sua vez, pode abrir portas para algumas das vulnerabilidades críticas. | Ative o. Alta segurança plug-in. | Documentação | |
| sn_SE10046 | 1 | Act | Segurança contextual: A Gestão de funções V2 deve estar habilitada | Remove registros duplicados e ajuda a visualizar a herança de funções. | Ative o plug-in Contextual Security: Role Management V2. | Documentação | |
| sn_SE10074 | 1 | Act | O mecanismo de verificação não tem acesso para ler dados de aplica-se à tabela | O SE não pode identificar possíveis descobertas nessas tabelas sem acesso de leitura. | Remova o registro Aplica-se à tabela, conceda acesso de leitura na tabela para a aplicação Mecanismo de verificação ou modifique o registro Aplica-se à tabela selecionando Acesso de solicitante restrito. | ||
| sn_SE10083 | 1 | Sugerir | Certificação com escopo: ACL necessária nas inclusões de script chamável do cliente | Os usuários podem obter acesso a dados para os quais não estão autorizados. Imprecisões de dados podem surgir. | Crie uma nova ACL com um tipo de inclusão de script chamável pelo cliente e defina o campo de nome como o nome de inclusão do script. Associe as funções apropriadas à ACL. | Documentação | |
| sn_SE10085 | 1 | Act | O modo padrão do gerenciador de segurança deve ser definido como "Negar". | Impede que os usuários obtenham acesso involuntariamente aos dados. | Defina o valor como "Negar". | Documentação | |
| sn_SE10089 | 1 | Sugerir | Campo definido como Somente leitura por meio da política de IU sem condições | Atualizações não intencionais no campo podem ocorrer por meio da edição de lista. | Verifique o sinalizador somente leitura no field___UICTRL_0___table_name.field_name___UICTRL_1___t Atende aos critérios para editar o campo. | Documentação | |
| sn_SE10090 | 1 | Sugerir | Campo definido como Obrigatório por meio da Política de IU sem condições | Os dados necessários podem estar vazios, o que impede que o processo de negócios continue. | Verifique o sinalizador obrigatório no registro de dicionário do campo para tornar o campo obrigatório o tempo todo. | Documentação | |
| sn_SE10100 | 1 | Recomendar | As páginas de IU devem ter uma ACL de leitura associada | Usuários não autorizados podem ter acesso para ver dados aos quais não teriam acesso por meio do back-end. | Crie uma ACL de leitura com uma operação de leitura em que o nome da ACL corresponda ao nome da página de IU. Associe as funções apropriadas à ACL de leitura de quem deve ter acesso de leitura à página de IU. | Documentação | |
| sn_SE10101 | 1 | Act | A conta de administrador padrão deve ser desabilitada | Usuários não autorizados ainda podem obter acesso ao sistema, potencialmente levando a violações de dados confidenciais e problemas de integridade de dados. O impacto nos negócios resultante pode ser significativo e irrestrito. | Desative a conta de administrador e remova qualquer associação de grupo e função do perfil de administrador. | Documentação | |
| sn_SE10146 | 1 | Act | A entrada de dados HTML deve ser validada por meio do uso de escape | Ataques de injeção podem ocorrer causando riscos de segurança. | Atualize o valor de glide.ui.escape_html_list_field propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10147 | 1 | Act | A entrada de dados do Jelly deve ser validada por meio do uso de escape | Ataques de injeção podem ocorrer causando riscos de segurança. | Atualize o valor de glide.ui.escape_all_script propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10148 | 1 | Act | A entrada de dados JavaScript deve ser validada por meio do uso de escape | Ataques de injeção podem ocorrer causando riscos de segurança. | Atualize o valor de glide.html.escape_script propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10150 | 1 | Act | As consultas client-script devem ser validadas | Um invasor pode executar operações não autorizadas na plataforma. | Atualize o valor de glide.script.use.sandbox propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10151 | 1 | Act | O código HTML incorporado deve ser desabilitado | Usado por invasores para roubar informações de sessão e dados confidenciais. | Atualize o valor de glide.ui.security.allow_codetag propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10152 | 1 | Act | Os marcadores JavaScript no HTML incorporado devem ser desabilitados | Usado por invasores para roubar informações de sessão e dados confidenciais. | Atualize o valor de glide.ui.security.codetag.allow_script propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10153 | 1 | Act | A API AJAXvaluate deve ser desabilitada | O AJAXvaluate pode permitir a execução de JavaScript arbitrário no navegador do cliente aproveitando os objetos do lado do servidor | Atualize o valor de glide.script.allow.ajaxevaluate propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10154 | 1 | Act | A validação do HTMLSanitizer deve estar habilitada | Ataques de script entre sites no lado do cliente. | Atualize o valor de glide.html.sanitize_all_fields propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10155 | 1 | Act | A segurança estrita deve ser habilitada para solicitações de SOAP | O usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.soap.strict_security propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10156 | 1 | Act | A interpolação Jelly deve ser habilitada | A injeção de JEXL pode levar à falsificação de solicitação entre locais e à execução de código | Atualize o valor de glide.ui.jelly.js_interpolation.protect propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10157 | 1 | Act | O escape de fórmulas do Excel deve ser habilitado | Fórmulas maliciosas representam um risco mesmo quando a planilha incorporada não contém informações confidenciais, pois podem ser usadas para comprometer o computador do visualizador. | Atualize o valor de glide.export.escape_formulas propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10159 | 1 | Sugerir | Opcional: Restrinja o acesso a intervalos de IP específicos | Risco desnecessário de exposição à instância de destino na internet | Ative o. Autenticação baseada em intervalo de IP Plug-in se apenas determinados endereços IP tiverem acesso à sua instância. | Documentação | |
| sn_SE10160 | 1 | Act | O plug-in de inicialização de segurança (regras de ACL) deve estar habilitado | O controle de acesso deve ser imposto para bloquear o acesso não intencional à instância. As regras de jumpstart de ACL foram escritas para fornecer um ponto de partida para proteger muitas tabelas do sistema para facilitar a entrada rápida de uma organização na produção. | Ative o. Início de segurança (regras de ACL) plug-in. | Documentação | |
| sn_SE10161 | 1 | Act | As transações de entrada devem ser validadas duas vezes | A solicitação de acesso deve ser sempre verificada quando as transações acontecem entre duas zonas. | Atualize o valor de glide.security.strict.updates propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10162 | 1 | Act | As condições de ação de IU devem ser validadas antes da execução | A solicitação de acesso deve ser sempre verificada quando as transações acontecem entre duas zonas. | Atualize o valor de glide.security.strict.actions propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10163 | 1 | Act | A ACL de monitoramento de desempenho deve ser habilitada | Os dados confidenciais, como detalhes do servidor, threads e processos que estão sendo executados no servidor, nunca devem estar visíveis ou acessíveis ao usuário final sem os privilégios apropriados. | Atualize o valor de glide.security.diag_txns_acl propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10165 | 1 | Act | A verificação de ACL AJAXGlideRecord deve estar habilitada | Através de scripts de cliente, é possível consultar dados arbitrários do servidor através da API GlideAjax. Os recursos do lado do servidor podem ser acessados sem a autorização adequada, portanto, validar a ACL ajuda a aplicação a validar a solicitação com base na autorização configurada. | Atualize o valor de glide.script.secure.ajaxgliderecord propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10166 | 1 | Act | A verificação de tipo de conteúdo SOAP deve estar habilitada | Ao aceitar solicitações de SOAP de entrada, a validação apropriada deve ser realizada para garantir que o tipo de conteúdo relevante esteja sendo definido como parte da solicitação e, assim, restrinja as respostas inválidas de SOAP que podem ser exibidas como um risco de segurança. | Atualize o valor de glide.soap.require_content_type_xml propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10107 | 1 | Act | O plug-in de controle de acesso SNC deve estar habilitado | Exposição desnecessária de acesso à instância a um grupo mais amplo de pessoas. | Ative o. SNC Controle de acesso Entre em contato com o Suporte ao cliente da <ph keyref="var.company-no-reg-tm"/>. | Documentação | |
| sn_SE10168 | 1 | Sugerir | Opcional: A restrição de IP estrita deve ser habilitada. | Exposição desnecessária de acesso à instância a um grupo mais amplo de pessoas. | Atualize o valor de glide.ip.authenticate.strict propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10169 | 1 | Act | Opcional: O plug-in de função explícita deve ser habilitado | Os usuários externos (não funcionários) terão acesso a muitas tabelas confidenciais no ServiceNow Que não tem funções atribuídas a ele e que são destinadas ou projetadas para serem acessíveis somente por usuários internos (funcionários). | Ative o. Função explícita Entre em contato com o Suporte ao cliente da <ph keyref="var.company-no-reg-tm"/>. | Documentação | |
| sn_SE10172 | 1 | Act | As ACLs devem estar habilitadas para Detalhes do perfil dinâmico | As solicitações de API devem sempre respeitar as ACLs da tabela. A restrição precisa ser aplicada para impedir que usuários não autorizados acessem detalhes de um perfil dinâmico. | Atualize o valor de glide.live_profile.details A propriedade do sistema para ACL OU insira esta propriedade do sistema com um valor ACL. | Documentação | |
| sn_SE10173 | 1 | Act | As inclusões de script chamáveis pelo cliente devem ser privadas | Definir esta propriedade como "verdadeiro" contorna as ACLs para inclusões de script do lado do cliente e pode resultar em funcionalidade pública não intencional. Isso pode ter um risco de segurança potencial se o script do cliente fornecer informações confidenciais. | Atualize o valor de glide.script.ccsi.ispublic propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10174 | 1 | Act | A autenticação SMTP deve ser habilitada | A autenticação sempre deve ser realizada antes que as transações aconteçam de/para ServiceNow instância. A autenticação SMTP habilita esse requisito antes de enviar o conteúdo para o servidor de e-mail externo autenticando no servidor SMTP de destino. | Atualize o valor de glide.smtp.auth propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10175 | 1 | Act | A autorização de solicitação de WSDL deve ser habilitada | Sem a autorização apropriada configurada nos serviços da web do WSDL, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais do WSDL na instância de destino. | Atualize o valor de basicauth.required.wsdl propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10176 | 1 | Act | A autorização de solicitação CSV deve ser habilitada | Sem a autorização apropriada configurada nas solicitações CSV recebidas, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.basicauth.required.csv propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10177 | 1 | Act | A autorização de solicitação do Excel deve ser habilitada | Sem a autorização apropriada configurada nas solicitações de entrada do Excel, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.basicauth.obrigatório.excel propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10178 | 1 | Act | A autorização de solicitação de importação deve ser habilitada | Sem a autorização apropriada configurada nas solicitações de importação da fonte de dados, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de basicauth.required.importprocessor propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10179 | 1 | Act | A autorização de solicitação de PDF deve ser habilitada | Sem a autorização apropriada configurada nas solicitações de PDF recebidas, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.basicauth.required.pdf propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10180 | 1 | Act | A autorização de solicitação de RSS deve ser habilitada | Sem a autorização apropriada configurada nas solicitações de RSS recebidas, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de basicauth.required.rss propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10181 | 1 | Act | A autorização de solicitação de script deve ser habilitada | Alto - Sem a autorização apropriada configurada nas solicitações de script de entrada, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.basicauth.required.scriptedprocessor propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10182 | 1 | Act | Autenticação básica: As solicitações SOAP devem ser habilitadas | Sem a autorização apropriada configurada nas solicitações de SOAP da fonte de dados, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de basicauth.obrigatório.soap propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10183 | 1 | Act | Autenticação básica: As solicitações JSONv2 devem ser habilitadas | Sem a autorização apropriada configurada nas solicitações JSON da fonte de dados, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.basicauth.required.jsonv2 propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10184 | 1 | Act | A autorização da solicitação de descarregamento deve estar habilitada | Sem a autorização apropriada configurada nas solicitações de descarregamento da fonte de dados, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de basicauth.obrigatório.unl propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10185 | 1 | Act | A autorização de solicitação XML deve ser habilitada | Sem a autorização apropriada configurada nas solicitações XML recebidas, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de glide.basicauth.required.xml propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10186 | 1 | Act | A autorização de solicitação de XSD deve ser habilitada | Sem a autorização apropriada configurada nas solicitações XSD recebidas, um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino. | Atualize o valor de basicauth.required.xsd propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10187 | 1 | Sugerir | Opcional: O plug-in Perfil SSO do navegador da Web SAML 2,0 deve estar habilitado | Vulnerável a ataques de script entre sites. | Ative o. Integração - Instalador de login único de vários provedores plug-in. | Documentação | |
| sn_SE10188 | 1 | Act | Remover credenciais da página de boas-vindas | As credenciais padrão podem ser expostas. | O conteúdo padrão na página de boas-vindas deve ser alterado para remover as credenciais padrão. | Documentação | |
| sn_SE10189 | 1 | Act | Lembrar de mim deve ser desabilitado | Quando a caixa de seleção Lembrar-me está selecionada no login, um cookie adicional é armazenado no computador do usuário para restabelecer automaticamente a sessão do usuário conectado nas visitas subsequentes. Isso representa um risco de segurança, pois permite que a sessão do usuário esteja ativa até que ele faça logout deliberadamente. A probabilidade de um ataque para esse cenário aumentaria quando o usuário final deixasse a máquina/navegador desacompanhado ou se o navegador fosse comprometido por um vetor de ataque diferente. | Atualize o valor de glide.ui.esquecer-me propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10190 | 1 | Act | O preenchimento automático do campo de senha deve ser desabilitado | Os campos de autenticação do usuário devem ser validados e nunca devem permitir que o cache do lado do cliente aconteça. | Atualize o valor de glide.login.autocomplete propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10191 | 1 | Act | ValidatePasswordStronger deve estar habilitado | A habilitação de senhas fracas na instância é um risco crítico de segurança devido à facilidade de acesso e à probabilidade extremamente alta de um adversário obter acesso à instância com a ajuda de técnicas simples de adivinhação de senha/força bruta. | Ative a saída de instalação ValidatePasswordStronger. | Documentação | |
| sn_SE10192 | 1 | Act | Desabilitar autenticação sem senha deve ser desabilitado | Um invasor poderá fazer login na instância com os nomes de usuário padrão ou por indivíduo/grupo específico (geralmente firstname.lastname) sem nenhuma senha. Isso é visto como um risco crítico de segurança, pois permitiria que um usuário público violasse a confidencialidade e a integridade dos dados da instância. | Atualize o valor de glide.login.no_blank_password propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10193 | 1 | Sugerir | Opcional: A autenticação multifator deve estar habilitada | Maior risco de acesso não autorizado a dados confidenciais. | Atualize o valor de glide.authenticate.multifactor propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10194 | 1 | Act | Os tipos de MIME de download devem ser preenchidos | Os vetores de ataque de script do lado do cliente vêm em diferentes sabores e o abuso do tipo MIME de anexos não é exceção. Os tipos de MIME podem ser abusados por invasores e renderizar o conteúdo de script não intencional do anexo do lado da vítima e, assim, capturar informações confidenciais. No contexto atual, a propriedade deve ser preenchida com uma lista de tipos mime de anexos separados por vírgulas que não devem ser renderizados em linha no navegador. Por exemplo: Texto/html | Atualize o valor de glide.ui.attachment.download_mime_types propriedade do sistema para tipos de arquivo confiáveis, como texto/csv,text/html,image/svg,image/svg,image/svg,application/xml, application/xhtml e xml OU insira esta propriedade do sistema com um valor dos tipos de arquivo confiáveis. | Documentação | |
| sn_SE10195 | 1 | Act | Forçar download de anexos deve estar habilitado | Para reduzir os ataques de script no lado do cliente, os anexos de arquivo devem ser baixados forçadamente, em vez de serem renderizados no contexto do navegador. | Atualize o valor de glide.ui.attachment.force_download_all_mime_types propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10197 | 1 | Act | Os tipos de arquivo para download devem ser preenchidos | As restrições de download de arquivo devem ser aplicadas a fontes de entrada de usuário não confiáveis. | Atualize o valor de glide.ui.strict_customer_uploaded_content_types Propriedade do sistema para os tipos de arquivo confiáveis OU insira esta propriedade do sistema com um valor dos tipos de arquivo confiáveis. | Documentação | |
| sn_SE10198 | 1 | Act | As extensões de arquivo devem ser restritas | Como a verificação do tipo MIME depende dessa propriedade, é recomendável mitigar as vulnerabilidades relacionadas ao carregamento de arquivo mal-intencionado. | Atualize o valor de extensões.anexo.glide Propriedade do sistema para as extensões de arquivo confiáveis OU insira esta propriedade do sistema com um valor das extensões de arquivo confiáveis. | Documentação | |
| sn_SE10199 | 1 | Act | O tipo de MIME de carregamento deve ser validado | Para reduzir vulnerabilidades, como inclusão de arquivos e carregamentos de arquivos maliciosos, a verificação do tipo MIME deve ser seguida. | Atualize o valor de glide.security.file.mime_type.validation propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10200 | 1 | Act | O acesso não autenticado aos anexos deve ser restrito | A restrição precisa ser aplicada a usuários não autenticados, pois alguns anexos podem conter informações confidenciais. | Atualize o valor de glide.image_provider.security_enabled propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10201 | 1 | Act | Os identificadores de sessão HTTP devem estar em rotação | SessionID é usado para processar e autenticar o usuário da instância mantendo o estado da sessão no navegador. Portanto, o SessionID é considerado dados confidenciais e deve ser seguro por padrão. A rotação de sessão é um controle de segurança para impor a alteração do sessionID sempre que o usuário navega de páginas não autenticadas para autenticar páginas. | Atualize o valor de glide.ui.rotate_sessions propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10202 | 1 | Act | Os cookies de sessão segura devem estar habilitados | Os cookies de sessão são dados confidenciais e devem ser formatados corretamente. É sempre recomendável validar rigorosamente o cookie de sessão antes de atender à solicitação. | Atualize o valor de glide.ui.secure_cookies propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10203 | 1 | Act | O tempo limite de atividade da sessão deve ser habilitado | As sessões do usuário ativas por tempo indefinido são um risco de segurança e devem expirar em uma configuração baseada em tempo. | Atualize o valor de glide.ui.session_timeout Propriedade do sistema para 60 OU insira esta propriedade do sistema com o valor 60. | Documentação | |
| sn_SE10204 | 1 | Act | Os cookies HTTP somente devem ser habilitados | Os cookies de sessão na aplicação autenticam um usuário final e fornecem permissões de acesso implícitas na aplicação e, portanto, há a necessidade de protegê-lo contra roubo ou exportação. Os sinalizadores HTTP Only protegeriam os cookies de sessão contra serem roubados por injeções de JavaScript ou vulnerabilidades de script entre sites. | Atualize o valor de glide.cookies.http_only propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10205 | 1 | Act | O token anti-CSRF deve estar habilitado | A falsificação de solicitação entre sites é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque CSRF em qualquer usuário da instância abusando da confiança da aplicação no usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada em nome do invasor na instância. | Atualize o valor de glide.security.use_csrf_token propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10206 | 1 | Sugerir | Opcional: A Validação estrita de CSRF deve ser habilitada | A falsificação de solicitação entre sites é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque CSRF em qualquer usuário da instância abusando da confiança da aplicação no usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada em nome do invasor na instância. | Atualize o valor de glide.security.csrf.strict.validation.mode propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10207 | 1 | Act | A confiança do certificado deve ser desabilitada | Por motivos de confidencialidade e integridade, a aplicação deve validar a CA do certificado antes de usar o certificado para qualquer operação transacional. | Atualize o valor de com.glide.communications.trustmanager_trust_all propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10208 | 1 | Act | SSLv2/SSLv3 deve ser desabilitado | Devido a uma série de ataques no lado do cliente, como BEAST, SSL Heart-bleed etc., as versões legadas do SSL foram comprovadamente inseguras quando utilizadas para a implementação de shell HTTP seguro. | Atualize o valor de glide.outbound.sslv3.desabilitado propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10209 | 1 | Act | Os links relativos devem ser impostos | Os URLs absolutos podem representar um risco de segurança ao serem usados como parte de um parâmetro ou um valor de campo e, assim, redirecionam a página de origem para um site controlado pelo adversário. | Atualize o valor de glide.cms.catalog_uri_relative propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10210 | 1 | Act | X-Frame-Options: SAMEORIGIN deve estar habilitado | A "mesma política de origem" permite restringir um domínio de recuperar um script ou um recurso de outros domínios. Todos os navegadores modernos oferecem suporte a esta funcionalidade. A política valida a conexão com base no protocolo, na porta e no host. Solicitação de origem cruzada (CORS) é uma pequena modificação na "Política de mesma origem" que permite o acesso a recursos/scripts de outro domínio quando explicitamente declarado como parte do valor do cabeçalho. No caso atual, o cabeçalho X-Frame-Options controla se ServiceNow A aplicação pode ser renderizada no site de terceiros e, assim, para reduzir a exposição sensível, o valor da propriedade quando definido como "SAMEORIGIN" não permite que a renderização aconteça. | Atualize o valor de glide.set_x_frame_options propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10211 | 1 | Act | O gerenciamento de tentativas de login com falha deve ser configurado | Uma estratégia de registro em log e auditoria deve ser aplicada para que atividades suspeitas possam ser identificadas e tratadas em tempo hábil. | Ative as Ações de script relacionadas ao usuário do SNC. | Documentação | |
| sn_SE10212 | 1 | Act | A renderização de mensagem de erro SQL deve ser desabilitada | Nenhuma informação SQL confidencial deve ser exibida como parte da mensagem de erro em uma página da web que possa ajudar um invasor. | Atualize o valor de glide.db.loguser propriedade do sistema para falseOU exclua esta propriedade do sistema. | Documentação | |
| sn_SE10213 | 1 | Act | A ofuscação da IU móvel deve estar habilitada | Um dispositivo comprometido (jailbreak) permitiria que um invasor tivesse acesso total ao sistema de arquivos e, portanto, seria capaz de acessar esses arquivos/snapshots com informações confidenciais incorporadas neles . | Atualize o valor de glide.ui.m.blur_ui_when_backgrounded propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10214 | 1 | Sugerir | Lista de permissões de URL para redirecionamentos de logout | O redirecionamento aberto no lado do cliente pode permitir que o invasor redirecione vítimas/usuários para o site controlado pelo invasor e é visto como um risco de segurança. | Atualize o valor de glide.security.url.whitelist Propriedade do sistema para incluir URLs na lista de permissões OU inserir esta propriedade do sistema com um valor dos URLs na lista de permissões. | Documentação | |
| sn_SE10215 | 1 | Sugerir | Opcional: A validação de entidade deve ser desabilitada | Um invasor pode aproveitar isso para expandir os dados exponencialmente, consumindo rapidamente todos os recursos do sistema. | Atualize o valor de glide.stax.allow_entity_resolution propriedade do sistema para falseOU insira esta propriedade do sistema com um valor de false. | Documentação | |
| sn_SE10216 | 1 | Sugerir | As restrições de domínio de e-mail devem ser configuradas | Se a propriedade não estiver habilitada, um invasor pode usar campanha de spoofing/spam de e-mail para enviar um número de e-mails que podem acabar criando mais usuários convidados desnecessários. | Atualize o valor de glide.user.trusted_domain Propriedade do sistema para incluir domínios confiáveis OU inserir esta propriedade do sistema com um valor dos domínios confiáveis. | Documentação | |
| sn_SE10237 | 1 | Recomendar | As credenciais não afiliadas devem ser removidas | Credenciais não usadas podem ser usadas para falsificar contas em tentativas de invasão | Aplique a credencial ou exclua o registro não utilizado. | Documentação | |
| sn_SE10248 | 1 | Act | Os privilégios entre escopos no status Solicitado devem ser revisados | Possibilidade de bugs na aplicação, resultando em dados imprecisos e/ou má experiência do usuário. | Revise o registro de privilégio entre escopos para determinar se a operação solicitada deve ser permitida ou negada. | Documentação | |
| sn_SE10266 | 1 | Act | A senha padrão não deve ser definida como "senha" | Risco de segurança desnecessário de um invasor obter acesso ao sistema. | Atualize o valor de glide.user.default_password a propriedade para ter uma senha mais complexa inclui letras minúsculas, letras maiúsculas, um número e um caractere especial. | Documentação | |
| sn_SE10277 | 1 | Act | Impor upload estrito da imagem do usuário | Quando esta propriedade é definida como falsa, as ACLs não são impostas nos carregamentos de imagens para o campo Foto e abrem a possibilidade de um usuário não autorizado carregar uma imagem para o perfil de outro usuário. | " glide.security.strict.user_image_upload" propriedade do sistema para true. | Documentação | |
| sn_SE10278 | 1 | Act | Restringir o acesso a e-mails com tabela de destino vazia | Os usuários podem ter acesso para exibir e-mails não intencionais. | " glide.email.email_with_no_target_visible_to_all" propriedade do sistema para false. | Documentação | |
| sn_SE10279 | 1 | Sugerir | O limite de expansão da entidade deve ser definido como 3000. | Um invasor pode aproveitar isso para expandir os dados exponencialmente, consumindo rapidamente todos os recursos do sistema. | . glide.xmlutil.max_entity_expansion system_propertydeve ter um valor mínimo de 3000. | Documentação | |
| sn_SE10280 | 1 | Act | O plug-in Pontuação e filtragem de spam de e-mail deve estar habilitado | Os filtros de e-mail permitem que os administradores especifiquem quando mover e-mails para caixas de correio específicas ou ignorá-los usando um construtor de condições ou um script de condição. O é particularmente útil ao receber e-mails maliciosos de remetente conhecido/desconhecido. | Ative a Pontuação e filtragem de spam de e-mail ( com.___PARM_0___plug-in ). | Documentação | |
| sn_SE10281 | 1 | Act | XML Processamento de entidade externa - Lista de permissões deve ser configurada | Um invasor que pode usar o DTD pode incluir solicitações HTTP arbitrárias que o servidor pode executar. | Defina o valor para a lista de URLs que podem ser acessadas pelo processamento de entidade XML. Isso é usado para permitir o acesso a uma lista de FQDN delimitado por vírgulas, se necessário. Esses serão os únicos URLs que podem ser acessados por meio do processamento de entidade XML. Observação: Um ID de SISTEMA DE entidade deve começar com "http:" ou "https:" ou será bloqueado automaticamente. Quando a lista de permissões está habilitada, o formulário PÚBLICO de uma definição de entidade externa é necessário. | Documentação | |
| sn_SE10282 | 1 | Act | A expansão da entidade deve ser desabilitada | Um invasor pode aproveitar isso para expandir os dados exponencialmente, consumindo rapidamente todos os recursos do sistema, resultando em um ataque de bilhões de risadas. | Certifique-se de que a propriedade " glide.xml.entity.whitelist" está definido como "http://java.sun.com/j2ee/dtds/" e a propriedade " glide.xml.entity.whitelist.enabled" está definido como " true". | Documentação | |
| sn_SE10284 | 1 | Act | A validação de origem do Openframe deve estar habilitada | Sem a validação de origem adequada, qualquer página da web ou script pode controlar o manipulador de eventos. | Defina o valor como truepara habilitar a verificação de origem. Quando esta propriedade estiver definida como true, todos os domínios listados como permitidos precisarão ser adicionados ao glide.ui.concourse.onmessage_enforce_same_origin_whitelistpropriedade do sistema. | Documentação | |
| sn_SE10285 | 1 | Sugerir | Defina um limite máximo para as sessões do usuário expirarem | As sessões do usuário ativas por tempo indefinido são um risco de segurança e devem expirar em uma configuração baseada em tempo. | Defina o. glide.ui.user_cookie.max_life_span_in_days propriedade do sistema para 30. | Documentação | |
| sn_SE10287 | 1 | Act | O valor de controle de cache padrão deve ser definido como Privado | As instâncias com CDN/proxies podem armazenar em cache conteúdo estático e renderizar sem autenticação. | Defina o. glide.http.cache_control propriedade do sistema como privada. | Documentação | |
| sn_SE10295 | 1 | Recomendar | Normalmente, os relatórios não devem ser tornados públicos | Usuários não autenticados podem ver dados confidenciais. | Compartilhe relatórios por meio de funções, usuários e/ou grupos em vez de permitir que eles sejam acessíveis a qualquer usuário. Para disponibilizar um relatório somente para usuários conectados, defina a configuração Compartilhamento como Todos, mas não publique. Os relatórios de lista são excluídos desta definição, pois sempre aplicam segurança no nível de tabela (ACLs). | Documentação | |
| sn_SE10314 | 1 | Recomendar | Domínio separado: Usuários com visibilidade entre domínios | Os usuários podem ser expostos aos dados de outro domínio. | Em vez de usar "domínios de visibilidade", é melhor usar "contém domínios" para um controle mais robusto. | Documentação | |
| sn_SE10432 | 1 | Recomendar | As páginas do portal normalmente não devem ser tornadas públicas | Usuários não autenticados podem ver dados confidenciais. | Defina o campo Público como falsee certifique-se de que o acesso seja limitado apenas ao público necessário. | Documentação | |
| sn_SE10433 | 1 | Sugerir | Analisar páginas de IU públicas | Usuários não autenticados podem ver dados confidenciais. | Defina o campo Ativo como falsee certifique-se de que o acesso seja limitado apenas ao público necessário. | Documentação | |
| sn_SE10434 | 1 | Recomendar | Evento do ciclo de vida de RH: Alterando o campo "Atribuível por" | As mudanças no campo "Atribuível por" nessas funções de RH podem representar um risco de segurança, pois podem permitir que usuários inexperientes ou mal-intencionados acessem dados confidenciais de RH. | Certifique-se de que essas funções de RH sejam atribuídas somente por sn_hr_le.admin ou sn_hr_le. activity_set_managerfunção. A reversão desses registros para a linha de base resolverá essas descobertas. | Documentação | |
| sn_SE10435 | 1 | Recomendar | Núcleo de RH: Alterando o campo "Atribuível por" | As mudanças no campo "Atribuível por" podem representar um risco de segurança, pois podem permitir que usuários inexperientes ou mal-intencionados acessem dados confidenciais de RH. | Certifique-se de que o campo "Atribuível por" nesses registros esteja definido como fornecido quando este plug-in foi ativado. A reversão desses registros para a linha de base resolveria essas descobertas. | Documentação | |
| sn_SE10436 | 1 | Act | As datas de início e término planejadas para registros de mudança devem ser protegidas por ACLs | Os usuários podem atualizar os campos Data de início planejada e Data de término na exibição de lista se não houver ACLs protegendo esses campos. As datas alteradas podem causar confusão entre diferentes usuários. | Crie uma ACL em vez de uma política de IU para proteger os campos de data de início planejada e data de término. | Documentação | |
| sn_SE10437 | 1 | Act | Os dispositivos móveis devem restringir copiar/colar | Um dispositivo comprometido (jailbreak) permitiria que um invasor tivesse acesso total à área de transferência e, portanto, poderá acessar as informações confidenciais incorporadas à área de transferência. | Defina a propriedade " glide.sg.clear_pasteboard_when_backgrounded" para true. | Documentação | |
| sn_SE10438 | 1 | Recomendar | O valor padrão da duração do bloqueio do usuário deve ser 1440 minutos | Definir esta propriedade para um valor mais curto pode permitir que os hackers retomem seus ataques após um curto período de tempo. | Defina o valor da propriedade " password_reset.solicitação. max_attempt_window" a 1440 (em minutos). | Documentação | |
| sn_SE10439 | 1 | Act | Opcional: A criação automática de usuário deve estar habilitada | Usuários fora da sua organização podem criar registros de incidentes. | Defina a propriedade " glide.pop3readerjob.create_caller" para false. Quando false, a instância executará ações de entrada de usuários que não correspondem a um usuário existente representando o usuário convidado. Revise seus registros de usuário existentes para reconciliar aqueles que contenham endereços de e-mail idênticos. Se você ativar o plug-in antes de reconciliar endereços de e-mail, sua instância não poderá distinguir usuários com endereços de e-mail idênticos e selecionar aleatoriamente um dos usuários com o endereço de e-mail correspondente. | Documentação | |
| sn_SE10440 | 1 | Act | O reCAPTCHA do Google na página de registro automático deve estar habilitado | Aumento de spam por meio da página de registro automático. | Defina a propriedade " sn_ext_usr_reg.CaptchaHabilitado" para true. | Documentação | |
| sn_SE10441 | 1 | Act | A verificação de proteção antivírus deve estar habilitada | Maior ameaça de infecções por vírus de anexos de arquivo. | Defina a propriedade " com.___PARM_0___" para true. | Documentação | |
| sn_SE10442 | 1 | Act | A propriedade do sistema "glide.pop3.process_locked_out" não deve ser habilitada | Permite que usuários bloqueados ou não confiáveis redefinam suas senhas e enviem e-mails para a instância | Defina a propriedade " glide.pop3.process_locked_out" para false. | Documentação | |
| sn_SE10443 | 1 | Act | Aumento do número de tentativas malsucedidas de redefinição de senha | Definir esta propriedade com um valor maior pode permitir que hackers tentem fazer login várias vezes. | Defina o valor da propriedade " password_reset.solicitação. max_attempt" a 3 tentativas de senha. | Documentação | |
| sn_SE10444 | 1 | Recomendar | Contas de integração atribuídas à função de administrador | As contas de integração com acesso administrativo servem como possíveis ameaças à segurança. | Certifique-se de que os usuários da conta de integração não tenham a função de administrador atribuída. As abordagens alternativas seriam conceder acesso às tabelas e registros reais necessários. O administrador de importação também é suficiente para processar conjuntos de importação. Cuidado deve ser tomado para não implementar trabalhos agendados usando a função de administrador. | Documentação | |
| sn_SE10446 | 1 | Recomendar | Visibilidade de detalhamento de PA para funções | Os usuários podem exibir dados que não são relevantes para eles. | Desmarque "Visível por todas as funções" e selecione as funções específicas necessárias para acessar o detalhamento. | Documentação | |
| sn_SE10447 | 1 | Act | Remova a função de administrador de campanha da função de administrador do sistema de TI | Os administradores do sistema DE TI podem exibir dados confidenciais de RH. | Como um usuário administrador, navegue até sys_user_role_containse, em seguida, selecione o registro de função "administrador". Na lista relacionada "Contém funções", remova sn_ca. campaign_admin. Certifique-se de que você já tenha pelo menos dois usuários com essa função. | Documentação | |
| sn_SE10448 | 1 | Act | Remova a função de administrador de entrega de conteúdo da função de administrador do sistema de TI | Os administradores do sistema DE TI podem exibir dados confidenciais de RH. | Como um usuário administrador, navegue até sys_user_role_containse, em seguida, selecione o registro de função "administrador". Na lista relacionada "Contém funções", remova sn_cd. content_admin. Certifique-se de que você já tenha pelo menos dois usuários com essa função. | Documentação | |
| sn_SE10449 | 1 | Act | Remova a função Administrador de gestão de documentos do funcionário da função Administrador do sistema de TI | Os administradores do sistema DE TI podem exibir dados confidenciais de RH. | Como um usuário administrador, navegue até sys_user_role_containse, em seguida, selecione o registro de função "administrador". Na lista relacionada "Contém funções", remova sn_hr_ef.admin. Certifique-se de que você já tenha pelo menos dois usuários com essa função. | Documentação | |
| sn_SE10450 | 1 | Recomendar | Os PINs do app para celular devem estar habilitados | Qualquer usuário pode acessar o aplicativo para celular quando os PINs não são necessários. | Defina a propriedade " glide.sg.require_mobile_application_pin" para true. | Documentação | |
| sn_SE10452 | 1 | Recomendar | Os recursos do Portal de serviços devem definir funções para restringir o acesso | Uma violação de dados pode ocorrer se o controle de acesso usando funções não estiver configurado corretamente nas páginas e widgets do portal de serviços. | Para recursos do Portal de serviços que não são públicos, deve haver uma lista de funções configuradas para restringir o acesso. Apenas páginas e widgets que não exigem controle de acesso devem ser públicos ou não ter funções definidas. | Documentação | |
| sn_SE10455 | 1 | Act | Os produtores de registro devem ter funções definidas para restringir o acesso | Os produtores de registro podem ser visualizados por todos os usuários, independentemente de suas funções. | Defina a propriedade do sistema " glide.sc.use_user_criteria" para trueOu navegue até a guia Acessibilidade em um Produtor de registro e certifique-se de que as funções estejam definidas. | Documentação | |
| sn_SE10457 | 1 | Sugerir | O número máximo de destinatários listados em uma única notificação por e-mail deve ser limitado a 100 | Notificações por e-mail duplicadas serão criadas para lidar com aqueles que excederem o limite de 100 destinatários. | Defina a propriedade " glide.email.smtp.max_recipients" para um valor menor ou igual a 100. | Documentação | |
| sn_SE10460 | 1 | Recomendar | Usuários com ex-alunos em seu perfil de RH ainda marcados como ativos | Os usuários que saíram da empresa ainda podem ter acesso à instância. | Desative a conta de usuário dos usuários com a opção " sn_hr_core. hrsm_alumni" função atribuída. | Documentação | |
| sn_SE10461 | 1 | Sugerir | Usuários com acesso apenas ao serviço Web não devem ter acesso elevado | Pode servir como um possível ponto de comprometimento se o acesso elevado for fornecido a esses usuários. | Remova funções de acesso elevado do usuário somente acesso ao serviço web. | Documentação | |
| sn_SE10462 | 1 | Sugerir | Controles de acesso em tabelas | Sem controles de acesso, qualquer usuário poderá acessar tabelas às quais não deve ter acesso. | Elevate para a função Administrador de segurança, navegue até Segurança do sistema > Controle de acesso e crie uma nova ACL. | Documentação | |
| sn_SE10463 | 1 | Act | Remova as funções de administrador principal de RH e DE administrador DE LE da função de administrador | Somente usuários com o administrador de RH [sn_hr_core.admin] e o administrador DE LE [sn_hr_le.admin] têm acesso aos dados de RH com informações confidenciais. | Após a configuração do sistema, remova a função de administrador de RH da função de administrador para impedir que os administradores exibam informações confidenciais de RH. Isso garantirá que somente o administrador de RH [ sn_hr_core.admin] tem acesso às informações confidenciais. | Documentação | |
| sn_SE10466 | 1 | Recomendar | Privilégios entre escopos não intencionais | Ocorrência de acesso não autorizado à aplicação de escopo | Investigue cada privilégio de escopo cruzado e identifique se isso é realmente necessário como parte da aplicação. Caso contrário, remova o teste de privilégio e regressão para garantir que o comportamento seja o esperado. | Documentação | |
| sn_SE10468 | 1 | Act | Os usuários externos não devem ter acesso à tabela sys_audit. | Os usuários externos podem acessar a tabela de auditoria do sistema e exibir dados potencialmente confidenciais. | As tabelas do sistema geralmente não precisam ser acessadas por todos os usuários internos e externos e podem ser restritas aos grupos necessários. | Documentação | |
| sn_SE10469 | 1 | Act | Não desative ou exclua a regra de negócio "Atribuir funções de RH" | O BR evitará problemas de segurança concedendo ou removendo automaticamente o acesso ao portal de RH com base no tipo de emprego e na data de início/término. | Defina a regra de negócio "Atribuir funções de RH" como Ativa. | /api/now/v1/context_doc_url/CSHelp:client-role-assignment-rules | |
| sn_SE10470 | 1 | Recomendar | Conceda ao administrador de RH um desenvolvedor delegado para a aplicação de escopo de RH | Para impedir o acesso não intencional a informações confidenciais de RH do administrador de sistemas DE TI atribuindo o desenvolvedor delegado ao escopo principal de RH. | Atribua uma função de desenvolvedor delegado ao escopo principal de RH. | Documentação | |
| sn_SE10471 | 1 | Act | Tabelas de RH não excluídas da clonagem na produção | Os dados de RH com informações confidenciais podem ser clonados em instâncias de subprodução. | Crie exclusões para tabelas de RH em sua instância de produção. | Documentação | |
| sn_SE10472 | 1 | Recomendar | Não está usando a conta de usuário apropriada para integrações de vulnerabilidade | O uso de uma conta de usuário inadequada pode levar a vulnerabilidades de segurança. | Use a conta do sistema de VR como o usuário de runas para execuções de script agendadas e importações de dados agendadas. | Documentação | |
| sn_SE10473 | 1 | Act | Número de usuários com funções de alto privilégio | Ter mais de 10 usuários com funções de alto privilégio aumenta a chance de um vazamento de segurança. | Certifique-se de que todas as funções de alto privilégio não tenham mais de 10 usuários atribuídos. | Documentação | |
| sn_SE10474 | 1 | Recomendar | Relatório compartilhado com uma função que não existe | Os relatórios compartilhados com uma função que não existe podem levar a um comportamento imprevisto. | Remova a função inválida editando o relatório e compartilhe o relatório com funções válidas. | Documentação | |
| sn_SE10475 | 1 | Sugerir | Use o usuário de integração dedicado para executar ações no lugar do padrão | A autenticação é necessária para todas as solicitações de SOAP, incluindo integração interna, quando o WS-Security está habilitado. As solicitações de comunicação podem ser bloqueadas quando um usuário da conta de usuário DO MID Server ou do driver ODBC não está definido como um usuário de integração interna. | Verifique o. internal_integration_userCampo da conta de usuário DO MID Server ou do driver ODBC. | Documentação | |
| sn_SE10476 | 1 | Act | Acesso à tabela de Auditoria do sistema para todos os usuários externos | Os usuários podem ter acesso desnecessário às tabelas do sistema. | As tabelas do sistema geralmente não precisam ser acessadas por todos os usuários internos e externos e podem ser restritas aos grupos necessários. | Documentação | |
| sn_SE10478 | 1 | Act | Remova a função de administrador de incidentes de segurança da função de administrador | Somente usuários com a função de administrador de incidentes de segurança devem ter acesso aos dados de incidentes de segurança com informações confidenciais. | Após a configuração do sistema, remova a função Administrador de incidentes de segurança da função Administrador para impedir que os administradores exibam informações confidenciais do incidente de segurança. Isso garantirá que somente o administrador de incidentes de segurança [ sn_si.admin] tem acesso às informações confidenciais. | Documentação | |
| sn_SE10479 | 1 | Act | Use o RCA para proteger o núcleo de RH | As consultas do lado do servidor podem ser executadas em dados ou tabelas de RH para acessar informações confidenciais. | É recomendável utilizar o acesso restrito do solicitante (ID: com.___PARM_0___) Ao usar a aplicação principal de Recursos Humanos (ID: com.sn_hr_core). | Documentação | |
| sn_SE10480 | 1 | Sugerir | A função de CISO de linha de base tem acesso de gravação | Os usuários de liderança sênior que não precisam de acesso de gravação aos registros de incidentes de segurança poderão editar esses registros. | Discuta se os usuários de liderança sênior realmente precisam ou não da capacidade de editar/gravar registros de incidente de segurança. Considere desacoplar o " sn_sifunção .basic" de " sn_si.ciso" se a liderança sênior não exigir permissões de gravação/edição nos registros de incidente de segurança. | Documentação | |
| sn_SE10483 | 1 | Act | Os grupos de atribuição de incidente de segurança não têm um atributo de tipo | Os usuários nesses grupos não poderão ter incidentes de segurança atribuídos a eles. | Grupos que atualmente têm a função " sn_si.Analista" atribuído a eles deve ter o atributo Tipo definido como "Incidente de segurança". | Documentação | |
| sn_SE10491 | 1 | Recomendar | As chamadas de API para Resposta a incidentes de segurança devem usar contas com a função "sn_si.integration_user" | O uso de uma conta de usuário inadequada pode levar a vulnerabilidades de segurança. | Considere adicionar o " sn_si. integration_user" Função para cada conta de usuário que acessa o incidente de segurança [ sn_si_incident] Por meio da API. | /api/now/v1/context_doc_url/CSHelp:components-installed-sir | |
| sn_SE10492 | 1 | Recomendar | Habilitar ACL de relatório | Se as ACLs de exibição de relatório forem desativadas, os usuários poderão ter acesso a dados de relatório que não deveriam. | As ACLs de exibição de relatório fornecem controle sobre quem pode exibir relatórios protegidos pela ACL de exibição de relatório. | Documentação | |
| sn_SE10493 | 1 | Recomendar | Existem várias chaves de criptografia | As chaves mais antigas podem ser removidas e as informações do registro serão criptografadas sem possibilidade de descriptografar. | Gire e criptografe novas chaves para garantir que não existam registros antigos com chaves antigas. | Documentação | |
| sn_SE10494 | 1 | Recomendar | A base de conhecimento e os artigos são públicos | Todos os usuários teriam acesso a bases de conhecimento e artigos | Certifique-se de definir os critérios do usuário para a Base de conhecimento e artigos. | Documentação | |
| sn_SE10522 | 1 | Recomendar | Recurso REST com script sem segurança habilitada | Não é recomendável tornar suas APIs públicas porque isso permite que o acesso público atualize dados na instância. | Para exigir autorização, selecione Requer autenticação e, em seguida, selecione Requer autorização de ACL caixa de seleção. Por fim, selecione um registro(s) de ACL. Saia do ACL campo em branco para impor o. ACLs padrão Da API primária. O acesso será concedido se pelo menos um registro de ACL correspondente for encontrado. | Documentação | |
| sn_SE10523 | 1 | Recomendar | Habilite a autenticação baseada em intervalo de IP | Usuários não autorizados podem acessar sua instância. |
|
Documentação | |
| sn_SE10534 | 1 | Act | Os arquivos de configuração rastreados podem estar expondo senhas, tokens de API e chaves secretas | Os usuários com a função itil podem ter acesso não atraente a senhas, tokens de API e chaves secretas. | Revise os arquivos de configuração rastreados navegando até cmdb_ci_config_file_trackede confirmando que informações seguras estão presentes. Controle o acesso a esta tabela por meio de ACL's ou reimplemente suas aplicações para fazer uso de aplicações de cofre de senhas para que nenhuma informação de credencial segura seja armazenada em texto não criptografado. | Documentação | |
| sn_SE10541 | 1 | Act | ACL definida sem função, script e condição | Seus dados podem ser expostos como o comportamento padrão quando a função , atributo de segurança , script e condições estão vazios para permitir acesso não autenticado. | Revise a ACL e adicione as funções, atributos de segurança, condições ou scripts apropriados. Se a ACL deve permanecer como está, no mínimo, adicione o seguinte ao script de ACL para garantir que somente usuários autenticados possam acessar os dados gs.getSession(). isLoggedIn;. | Documentação | |
| sn_SE10585 | 1 | Recomendar | Possível configuração incorreta dos critérios do usuário da base de conhecimento | Os usuários podem receber acesso não intencional e não autenticado aos seus artigos da base de conhecimento. | Crie a propriedade do sistema glide.knowman.block_access_with_no_user_criteria e defina o valor como true. | Documentação | |
| sn_SE10594 | 1 | Recomendar | Bloquear o acesso a bases de conhecimento não públicas para usuários não autenticados | Possível perda de informações confidenciais ou PII | Atualize o valor de glide.knowman.block_access_with_no_user_criteria propriedade do sistema para trueOU insira esta propriedade do sistema com um valor de true. | Documentação | |
| sn_SE10639 | 1 | Recomendar | Todos os usuários encapsulados na lista "Pode contribuir" de uma base de conhecimento têm a capacidade de ler todas as bases de conhecimento | Os usuários podem receber acesso não intencional e não autenticado aos seus artigos da base de conhecimento. | Crie a propriedade do sistema glide.knowman.apply_article_read_criteria e defina o valor como true. | Documentação | |
| sn_SE10640 | 1 | Recomendar | Define uma lista de funções que podem exibir artigos da base de conhecimento que estão em um "estado de rascunho" | Os usuários podem receber acesso não intencional e não autenticado aos seus artigos da base de conhecimento. | Crie a propriedade do sistema glide.knowman.section.view_roles.draft e defina o valor como admin, knowledge_admin . | Documentação | |
| sn_SE10641 | 1 | Recomendar | Todos os usuários nas funções definidas têm a capacidade de exibir artigos que existem em um estado personalizado. | Os usuários podem receber acesso não intencional e não autenticado aos seus artigos da base de conhecimento. | Crie a propriedade do sistema glide.knowman.section.view_roles.stagesAndRoles e defina o valor como admin, knowledge_admin . | Documentação | |
| sn_SE10642 | 1 | Recomendar | Mostrar artigos não publicados | Os usuários podem exibir artigos da base de conhecimento que ainda não foram publicados. | Crie a propriedade do sistema glide.knowman.show_unpublished e defina o valor como false. | Documentação | |
| sn_SE10643 | 1 | Act | A ACL verifica a autenticação do usuário e faz referência a uma propriedade do sistema para permitir ou negar acesso com base | Permitir acesso não autenticado pode expor a empresa a violações de dados, não conformidade regulatória e riscos de segurança. | Certifique-se de glide.security.allow_unauth_roleless_acla propriedade do sistema está definida como falsepara impedir o acesso não autenticado. | Documentação | |
| sn_SE10644 | 1 | Recomendar | Define uma lista de funções que podem exibir artigos da base de conhecimento que estão no estado "Revisão" | Os usuários podem receber acesso não intencional e não autenticado aos seus artigos da base de conhecimento. | Crie a propriedade do sistema glide.knowman.section.view_roles.review e defina o valor como admin,knowledge_admin,knowledge,itil . | Documentação | |
| sn_SE10645 | 1 | Recomendar | Regras de negócios OOB inativas para impedir o acesso não autenticado por padrão | Os usuários podem receber acesso não intencional e não autenticado aos seus artigos da base de conhecimento. | Pesquisar regra de negócio Restringir usuário convidado à base de conhecimento Com SYSID 6c8ec5147711111016f35c207b5a9969 e defina o campo ativo como verdadeiro . | Documentação |