| Autorisierung für SOAP-Anforderungen anfordern [aktualisiert in Security Center 1,3, 1,5 und 2,0] |
- Name der neuen technischen Konfiguration: glide.basicauth.required.soap, glide.soap.require_ws_security
- Name der alten technischen Konfiguration: glide.basicauth.required.soap
- Neue Beschreibung: Die Glide-Eigenschaft glide.basicauth.required.soapSteuert, ob die Standardauthentifizierung erforderlich ist, um eine SOAP-Anforderung an eine Instanz zu stellen. Wenn glide.basicauth.required.soapIst nicht auf den empfohlenen Wert „wahr“ festgelegt, werden nicht authentifizierte Anwender, die SOAP-Vorgänge ausführen, dem SOAP.Guest-Anwender zugeordnet. Dies kann einem nicht authentifizierten Anwender ermöglichen, Vorgänge auf der Instanz auszuführen, als wäre er bei der Instanz angemeldet. Es kann zusätzliche Auswirkungen haben, wenn der Anwender in definiert com.glide.soap.guest_userSind zusätzliche Rollen zugewiesen.
- Alte Beschreibung: Die Glide-Eigenschaft glide.basicauth.required.soapSteuert, ob eine Authentifizierung erforderlich ist, um eine SOAP-Anforderung an eine Instanz zu stellen. Wenn glide.basicauth.required.soapIst nicht auf den empfohlenen Wert „wahr“ festgelegt, ist die Authentifizierung für SOAP-Anforderungen in der Instanz deaktiviert. Sie ermöglicht nicht authentifizierten Zugriff auf Vorgänge auf Administrator- oder Wartungsebene, wodurch Sicherheitskontrollen innerhalb der Instanz aufgehoben werden.
- Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.basicauth.required.soapIst auf den Wert „wahr“ festgelegt. Alternativ können Sie die Instanz für WS-Sicherheit konfigurieren, indem Sie die Eigenschaft festlegen glide.soap.require_ws_securityAuf „wahr“ und befolgen Sie die Produktdokumentation, um WS-Sicherheitsprofile zu konfigurieren.
- Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.basicauth.required.soapIst in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt.
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Jelly-Skript mit Escape-Zeichen [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Beschreibung: Mit dieser Eigenschaft werden alle in enthaltenen JS- und HTML-Zeichenfolgen mit Escape-Zeichen versehen, bevor sie in den Ausgabestrom geschrieben werden, wodurch verhindert wird, dass mehrere XSS-Probleme auftreten. Wenn glide.ui.escape_all_scriptIst nicht auf den empfohlenen Wert „wahr“ festgelegt, dann ist das Escape-Zeichen von Skripts, die in Jelly injiziert wurden, deaktiviert. Ohne diese Minderung wird die Plattform weit geöffnet für eine Vielzahl von Skripteinschleusungsangriffen. Ein Angreifer kann beliebige Rhino-Skripts auf der Instanz ausführen.
- Alte Beschreibung: Mit der folgenden Eigenschaft werden alle in <j:jelly> ... </j:jelly> enthaltenen JS- und HTML-Zeichenfolgen mit Escape-Zeichen versehen, bevor sie in den Ausgabestrom geschrieben werden, wodurch verhindert wird, dass mehrere XSS-Probleme auftreten. Wenn glide.ui.escape_all_scriptIst nicht auf den empfohlenen Wert „wahr“ festgelegt, dann ist das Escape-Zeichen von Skripts, die in Jelly injiziert wurden, deaktiviert. Ohne diese Minderung wird die Plattform weit geöffnet für eine Vielzahl von Skripteinschleusungsangriffen. Ein Angreifer kann beliebige Rhino-Skripts auf der Instanz ausführen.
|
| Verhindern, dass Anwender eine Warnung zur Umgehung der CSRF-Validierung akzeptieren [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Kurzbeschreibung: Verhindern Sie, dass Anwender eine Warnung akzeptieren, um die CSRF-Validierung zu umgehen
- Alte Kurzbeschreibung: Strikte CSRF-Token-Validierung erzwingen
- Neue Beschreibung: Diese Eigenschaft verhindert, dass Anwender eine Warnung akzeptieren können, die das Senden einer potenziell schädlichen Anforderung an die Instanz ermöglicht. Diese Warnung wird angezeigt, wenn eine POST-Anforderung aufgrund eines falsch übereinstimmenden Anti-CSRF-Tokens fehlschlägt, das zu einer der anderen aktiven Sitzungen des Opfers gehört. Wenn glide.security.csrf.strict.validation.modeIst nicht auf den empfohlenen Wert „wahr“ festgelegt, kann ein Angreifer einen CSRF-Angriff mithilfe eines ausgelesenen Anti-CSRF-Tokens aus einer anderen aktiven Sitzung, die zum Opfer gehört, formulieren.Eine POST-Anforderung an eine Instanz enthält ein Anti-CSRF-Token in „sysparm_ck“ oder „X-UserToken“, das der aktuellen Sitzung des Anwenders entspricht. Wenn das Anti-CSRF-Token stattdessen an eine der anderen aktiven Sitzungen des Anwenders gebunden ist, gibt die POST-Anforderung eine 302-Umleitung an Security_Interceptor.do zurück, wobei dem Anwender eine Schaltfläche „Fortfahren“ zur Verfügung steht, wenn diese Eigenschaft auf „falsch“ festgelegt ist. Wenn Sie auf diese Schaltfläche klicken, wird die Anforderung erneut an die Instanz gesendet, es sei denn, sie verfügt jetzt über ein gültiges Anti-CSRF-Token. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, zeigt die 302-Weiterleitung zur Seite „Security_interceptor.do“ keine Schaltfläche „Fortfahren“ an, und der Anwender darf die Anforderung nicht erneut übermitteln.Ein erfolgreicher CSRF-Angriff ermöglicht es einem Angreifer, jeden Vorgang effektiv auszuführen, den das Opfer ausführen kann.
- Alte Beschreibung: Diese Eigenschaft aktiviert die strikte Validierung des CSRF-Tokens, wodurch die Wiederverwendung von CSRF-Token verhindert wird. Wenn glide.security.csrf.strict.validation.modeIst nicht auf den empfohlenen Wert „wahr“ festgelegt, können CSRF-Token wiederverwendet werden, was eine Tür für CSRF-Angriffe öffnet.
- Neue CVSS-Punktzahl: 3,7
- Alte CVSS-Punktzahl: 3,1
|
| Authentifizierung für Ereignismanagement-HTTP-Prozessor anfordern [Neu in Security Center 1,3, aktualisiert 1,5 und entfernt 2,0] |
- Neue Kurzbeschreibung: Authentifizierung für Ereignismanagement-HTTP-Prozessor erforderlich
- Alte Kurzbeschreibung: Authentifizierung für Ereignismanagement-HTTP-Prozessor erforderlich
|
| Anti-CSRF-Token aktivieren [Neu in Security Center 1,3, aktualisiert 1,5 und entfernt 2,0] |
- Neue Beschreibung: Cross-Site Request Forgery (CSRF) ist ein Angriff, der authentifizierte Anwender zwingt, eine Anforderung an eine Webanwendung zu übermitteln, für die sie derzeit authentifiziert sind. CSRF-Angriffe nutzen das Vertrauen einer Webanwendung in einen authentifizierten Anwender aus. Diese Eigenschaft ermöglicht die Verwendung eines sicheren Tokens zur Identifizierung und Validierung eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern. Wenn glide.security.use_csrf_tokenIst nicht auf den empfohlenen Wert „wahr“ festgelegt, ist CSRF möglich.
- Alte Beschreibung: Cross-Site Request Forgery (CSRF) ist ein Angriff, der authentifizierte Anwender zwingt, eine Anforderung an eine Webanwendung zu übermitteln, für die sie derzeit authentifiziert sind. CSRF-Angriffe nutzen das Vertrauen einer Webanwendung in einen authentifizierten Anwender aus. Diese Eigenschaft ermöglicht die Verwendung eines sicheren Tokens zur Identifizierung und Validierung eingehender Anforderungen. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern. Wenn glide.security.use_csrf_tokenIst nicht auf den empfohlenen Wert „wahr“ festgelegt, ist CSRF möglich.
|
| HTML-Bereinigung in Virtual Agent aktivieren [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Kurzbeschreibung: HTML-Bereinigung in Virtual Agent aktivieren
- Alte Kurzbeschreibung: HTML-Bereinigung aktivieren
- Neue Beschreibung: Diese Eigenschaft steuert, ob der HtmlSanitizerService aktiviert ist. Wenn com.glide.cs.html.sanitizer.enabledIst nicht auf „wahr“ festgelegt, ist im VA-Webclient ein gespeicherter Angriff auf Cross-Site Scripting (XSS) möglich.
- Alte Beschreibung: Diese Eigenschaft steuert, ob der HTMLSanitezerService aktiviert ist. Wenn com.glide.cs.html.sanitizer.enabledIst nicht auf „wahr“ festgelegt, ist im VA-Webclient ein gespeicherter Angriff auf Cross-Site Scripting (XSS) möglich.
|
| Internen Zugriff auf explizite externe Rollen verweigern [aktualisiert in Security Center 1,3 und 1,5] |
|
| Autorisierung für WSDL-Anforderung anfordern [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Beschreibung: Wenn glide.basicauth.required.wsdlIst nicht auf den empfohlenen Wert „wahr“ festgelegt, wird die Standardauthentifizierung für WSDL-Anforderungen deaktiviert. WSDL ist ein Protokoll, das zur Beschreibung von Webservices wie Instanztabellenschemata verwendet wird und kein Mechanismus für die gemeinsame Nutzung der Daten innerhalb von Tabellen ist. Wenn Sie diese Eigenschaft auf „wahr“ festlegen, können Tabellenschemas für nicht authentifizierte Anwender offengelegt werden.
- Alte Beschreibung: Wenn glide.basicauth.required.wsdlIst nicht auf den empfohlenen Wert „wahr“ festgelegt, wird die Standardauthentifizierung für WSDL-Anforderungen deaktiviert. Dies kann zur Offenlegung von Informationen an nicht authentifizierte Anwender führen.
- Neue CVSS-Punktzahl: 5,3
- Alte CVSS-Punktzahl: 4,3
|
| Prüfung der URL-Zulässigkeitsliste erzwingen [aktualisiert in Security Center 1,3, 1,5 und 2,0] |
Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Eingeschränkte herunterladbare MIME-Typen definieren [aktualisiert in Security Center 1,3, 1,5 und 2,0] |
- Neue Kurzbeschreibung: Definieren Sie eingeschränkte herunterladbare MIME-Typen
- Alte Kurzbeschreibung: Herunterladbare MIME-Typen einschränken
- Neue Beschreibung: Wenn glide.ui.attachment.download_mime_typesEnthält gefährliche Elemente wie Text/HTML, Image/svg, image/svg, image/svg+xml,Application/xml, dann können gefährliche Dateien im Browser inline gerendert werden, was zu Cross Sitte Scripting-Angriffen (XSS) führen kann. Diese Eigenschaft ist die Liste der kommagetrennten MIME-Typen für Anhänge, die im Browser nicht inline gerendert werden. Beispielsweise erzwingt das Einbeziehen von Text/HTML-Dateien, dass HTML-Dateien als Anhänge auf den Client heruntergeladen werden, anstatt sie inline im Browser anzuzeigen. Wenn Sie diese Liste ordnungsgemäß verwalten, werden Site-übergreifende Skripting-Angriffe verhindert.
- Alte Beschreibung: Wenn glide.ui.attachment.download_mime_typesEnthält gefährliche Elemente wie Text/HTML, Image/svg, image/svg, image/svg+xml,Application/xml, dann können gefährliche Dateien im Browser inline gerendert werden, was zu Cross Sitte Scripting-Angriffen (XSS) führen kann. Diese Eigenschaft ist die Liste der kommagetrennten MIME-Typen für Anhänge, die im Browser nicht inline gerendert werden. Beispielsweise erzwingt das Einbeziehen von Text/HTML-Dateien, dass HTML-Dateien als Anhänge auf den Client heruntergeladen werden, anstatt sie inline im Browser anzuzeigen. Wenn Sie diese Liste ordnungsgemäß verwalten, werden Site-übergreifende Skripting-Angriffe verhindert.
|
| HTML in Listenansichten mit Escape-Zeichen versehen [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Beschreibung: Diese Eigenschaft hilft, die Listenansicht von HTML-Feldern zu bereinigen. Wenn glide.ui.escape_html_list_fieldIst nicht auf den empfohlenen Wert „wahr“ festgelegt, kann ein böswilliger Anwender HTML-Code in das Formularfeld einschleusen, um unerwünschte Skripts in verschiedenen Client-/Anwendersitzungen auszuführen. Dies könnte potenziell von Angreifern genutzt werden, um Sitzungsinformationen und vertrauliche Daten zu stehlen.
- Alte Beschreibung: Die folgende Eigenschaft hilft, die Listenansicht von HTML-Feldern zu bereinigen. Wenn glide.ui.escape_html_list_fieldIst nicht auf den empfohlenen Wert „wahr“ festgelegt, kann ein böswilliger Anwender HTML-Code in das Formularfeld einschleusen, um unerwünschte Skripts in verschiedenen Client-/Anwendersitzungen auszuführen. Dies könnte potenziell von Angreifern genutzt werden, um Sitzungsinformationen und vertrauliche Daten zu stehlen.
|
| Beschränken Sie E-Mail-Domänen für die Registrierung externer Anwender [Aktualisiert in Sicherheitscenter 1,3, 1,5 und 2,0] |
- Neue Kurzbeschreibung: E-Mail-Domänen für die Registrierung externer Anwender einschränken
- Alte Kurzbeschreibung: E-Mail-Domänen für die Registrierung externer Anwender beschränken (Plugin-Anwendbarkeit: Registrierung externer Anwender)
- Neue Beschreibung: Die sn_ext_usr_reg.allowed_email_domainsDie Eigenschaft definiert, welche E-Mail-Adressen sich bei einer ServiceNow-Instanz selbst registrieren dürfen. Wenn sn_ext_usr_reg.allowed_email_domainsIst nicht mit einer Liste zulässiger Domänen festgelegt, dann können Anwender mit einer beliebigen E-Mail-Adresse Accounts in den Instanzen registrieren. Wenn nicht definiert, können böswillige Akteure die Registrierung mithilfe von E-Mail-Adressen aus unerwünschten Domänen durchführen, um authentifizierten Zugriff auf die Instanz zu erhalten.
- Alte Beschreibung: Wenn sn_ext_usr_reg.allowed_email_domainsIst nicht mit einer weißen Liste von zulässigen Domänen festgelegt, dann können böswillige Akteure die Registrierung mithilfe von E-Mail-Adressen aus unerwünschten Domänen durchführen.
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Captcha für die Registrierung externer Anwender aktivieren [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Kurzbeschreibung: Captcha für die Registrierung externer Anwender aktivieren
- Alte Kurzbeschreibung: Captcha für Registrierung externer Anwender aktivieren (Plugin-Anwendbarkeit: Registrierung externer Anwender)
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern
|
| Minimieren Sie die Ablaufdauer des Links zur Registrierung externer Anwender [aktualisiert im Security Center 1,3 Und 1,5 ] |
- Neue Kurzbeschreibung: Ablaufdauer des Links zur Registrierung externer Anwender minimieren
- Alte Kurzbeschreibung: Ablaufdauer des Links zur Registrierung externer Anwender minimieren (Plugin-Anwendbarkeit: Registrierung externer Anwender)
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern
|
| Download infizierter Dateien nicht zulassen [aktualisiert in Security Center 1,5 und 2,0] |
- Neue Kurzbeschreibung: Download infizierter Dateien nicht zulassen
- Alte Kurzbeschreibung: Download infizierter Dateien nicht zulassen
- Neue Korrektur: Stellen Sie die Eigenschaft sicher com.glide.snap.infected_download_allowedIst auf „falsch“ festgelegt.
- Alte Korrektur: Stellen Sie die Eigenschaft sicher com.glide.snap.infected_download_allowedIst auf „wahr“ festgelegt.
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Dateimime-Typ im SOAP-Webservice „AttachmentCreator“ validieren [Neu in Security Center 1,3 und aktualisiert in 1,5] |
- Neue Beschreibung: Wenn glide.attachment.enforce_security_validationIst nicht auf den empfohlenen Wert „wahr“ festgelegt, gibt es keine Validierung für den MIME-Typ des Anhangs, und gefährliche Dateien könnten mit falschen Dateierweiterungen auf das System hochgeladen werden. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, werden Dateien mit der richtigen Dateityperweiterung hochgeladen. Es ist eine Best Practice für Sicherheit, Dateien-Uploads mindestens mit der MIME-Typvalidierung zu validieren.
- Alte Beschreibung: Wenn glide.attachment.enforce_security_validationIst nicht auf den empfohlenen Wert „wahr“ festgelegt, gibt es keine Validierung für den MIME-Typ des Anhangs, und gefährliche Dateien könnten mit falschen Dateierweiterungen auf das System hochgeladen werden. Wenn diese Eigenschaft auf „wahr“ festgelegt ist, werden Dateien mit der richtigen Dateityperweiterung hochgeladen. Es ist eine Best Practice für Sicherheit, Dateien-Uploads mindestens mit der MIME-Typvalidierung zu validieren.
- Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.attachment.enforce_security_validationIst auf „wahr“ festgelegt.
- Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.attachment.enforce_security_validationIst auf „wahr“ festgelegt.
|
| MultiSSO-Debugging deaktivieren [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Kurzbeschreibung: Deaktivieren Sie das MultiSSO-Debugging
- Alte Kurzbeschreibung: MultiSSO-Debugging deaktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| Definieren zulässig ServiceNow Interne IP-Adressen [aktualisiert in Security Center 1,3 Und 1,5 ] |
- Name der neuen technischen Konfiguration: glide.ip.authenticate.strict
- Name der alten technischen Konfiguration: glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
- Neue Beschreibung: Wenn glide.ip.authenticate.strictIst auf „wahr“ festgelegt, können interne ServiceNow-Mitarbeiter und -Systeme nur eingehende Verbindungen zur Instanz aus wichtigen IP-Bereichen herstellen. Dieses Limit bietet ServiceNow Einblick in die Instanz in wichtige interne Infrastruktur und verhindert den Zugriff von breiteren ServiceNow-Mitarbeitern wie Support- und Vertriebsmitarbeitern über Unternehmensnetzwerke. Wenn auf „wahr“ festgelegt, wird glide.ip.authenticate.allowDie Eigenschaft wird verwendet, um interne eingehende ServiceNow-Verbindungen zu gewähren. Wenn nicht auf „wahr“ festgelegt, wird ein breiterer interner IP-Bereich von ServiceNow wie in definiert glide.ip.authenticate.allowWird verwendet, um interne eingehende ServiceNow-Verbindungen zu gewähren.
- Alte Beschreibung: Wenn glide.ip.authenticate.strictIst auf „wahr“ festgelegt, dann sind nur in angegebene IP-Bereiche angegeben glide.ip.authenticate.allow.securedKann eingehende Verbindungen zur Instanz herstellen. Diese Eigenschaft enthält eine Liste nur wichtiger interner ServiceNow-IP-Bereiche (Secure VPN, DC). Wenn glide.ip.authenticate.allow.securedIst nicht auf den empfohlenen Wert oder die empfohlene Permutation von „10.0,0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0,0/17, 149.96.0,0/16, 199.91.136.0/21, 148.139.0,0/16, 127.0,0.1“ oder die neuere Werteliste „10.0,0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0,0/17, 149.96.0,0/16, 199.91.136.0/21, 148.139.0,0/16, 127.0,0.1, 0:0:0:0:0:0:0:1, ::1“, wodurch IPv6 localhost zu Utah hinzugefügt wird. dann kann es möglich sein, dass nicht vertrauenswürdige Quellen außerhalb des SN-Rechenzentrums und eines sicheren VPN auf sensible Überwachungsendpunkte in Instanzen zugreifen.
- Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.ip.authenticate.allow.securedEnthält nur vertrauenswürdige Werte und die Eigenschaft glide.ip.authenticate.strictIst auf „wahr“ festgelegt.
- Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.ip.authenticate.allow.securedEnthält nur Werte in „10.0,0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0,0/17, 149.96.0,0/16, 199.91.136.0/21, 148.139.0,0/16, 127.0,0.1, 0:0:0:0:0:0:0:1, ::1“ und dass die Eigenschaft glide.ip.authenticate.strictIst auf „wahr“ festgelegt.
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Deaktivieren Sie die Entitätserweiterung im XMLDocument2-Streaming-Parser [Aktualisiert in Security Center 1,5] |
- Neue Kurzbeschreibung: Entitätserweiterung im XMLDocument2-Streaming-Parser deaktivieren
- Alte Kurzbeschreibung: Entitätserweiterung deaktivieren
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Domänentrennung auf Dot-Walking-Felder anwenden [aktualisiert in Security Center 1,3, 1,5 und 2,0] |
- Neue Kurzbeschreibung: Domänentrennung auf Dot-Walking-Felder anwenden
- Alte Kurzbeschreibung: Domänentrennung auf Dot-Walking-Felder anwenden (Plugin-Anwendbarkeit: Domänentrennung)
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Berechtigungen für CMDB-Modell beschränken [aktualisiert in Security Center 1,3 und 1,5] |
Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Beim Hintergrund der mobilen Anwendung muss die Zwischenablage gelöscht werden [Neu in Security Center 1,3 und aktualisiert 1,5] |
- Neue Beschreibung: Die glide.sg.clear_pasteboard_when_backgroundedDie Eigenschaft steuert, ob Text, der aus der mobilen ServiceNow-App kopiert wurde, in der Zwischenablage und in der Zwischenablage beibehalten wird, nachdem sich die App im Hintergrundmodus befindet. Wenn nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden vertrauliche Informationen möglicherweise an die Android- oder iOS-Zwischenablage weitergegeben, wo sie für andere Anwendungen auf dem Gerät zugänglich gemacht werden können.
- Alte Beschreibung: Die Eigenschaft glide.sg.clear_pasteboard_when_backgroundedSteuert, ob Text, der aus der mobilen ServiceNow-App kopiert wurde, in der Zwischenablage/in der Zwischenablage beibehalten wird, nachdem die App nicht mehr im Fokus ist. Wenn nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden vertrauliche Informationen möglicherweise an die Android- oder iOS-Zwischenablage weitergegeben, wo sie für andere Anwendungen auf dem Gerät zugänglich gemacht werden können.
|
| Accountwiederherstellung aktivieren [aktualisiert in Security Center 1,3 Und 1,5 ] |
- Neue Kurzbeschreibung: Accountwiederherstellung aktivieren
- Alte Kurzbeschreibung: Accountwiederherstellung aktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| Deaktivieren Sie SQL-Fehlermeldungen [Aktualisiert in Security Center 1,3 und 1,5] |
- Neue Beschreibung: Wenn glide.db.loguserIst nicht auf den empfohlenen Wert „falsch“ festgelegt, dann können Endanwendern vertrauliche serverseitige Fehlermeldungen angezeigt werden. Fehlermeldungen können Stapelverfolgungen und Informationen zur Struktur der Datenbank enthalten, die einem Angreifer das Wissen liefern könnten, das für die erfolgreiche SQL-Injection erforderlich ist, wenn die Voraussetzungen vorhanden sind. Als Tiefenverteidigung sollten diese Fehlermeldungen dem Endanwender nicht angezeigt werden.
- Alte Beschreibung: Wenn glide.db.loguserIst nicht auf den empfohlenen Wert „falsch“ festgelegt, dann können Endanwendern vertrauliche serverseitige Fehlermeldungen angezeigt werden.
|
| Relative Links erzwingen [aktualisiert in Security Center 1,3 und 1,5] |
- Neue Beschreibung: Die glide.cms.catalog_uri_relativeEigenschaft erzwingt relative Links aus dem URI-Parameter in /ess/catalog.do. Wenn glide.cms.catalog_uri_relativeIst nicht auf den empfohlenen Wert „wahr“ festgelegt, wird die URL nicht mit der Funktion „enforceRelativeURL(url)“ bereinigt. Absolute URLs können ein Sicherheitsrisiko darstellen, wenn sie als Teil eines Parameters oder eines Feldwerts verwendet werden, wodurch die Quellseite zu einer von Angreifern kontrollierten Website weitergeleitet wird. Diese Eigenschaft wirkt sich auf das veraltete Content Management System (CMS) aus, das durch das Serviceportal ersetzt wurde.
- Alte Beschreibung: Die glide.cms.catalog_uri_relativeEigenschaft erzwingt relative Links aus dem URI-Parameter in /ess/catalog.do. Wenn glide.cms.catalog_uri_relativeIst nicht auf den empfohlenen Wert „wahr“ festgelegt, wird die URL nicht mit der Funktion „enforceRelativeURL(url)“ bereinigt. Absolute URLs können ein Sicherheitsrisiko darstellen, wenn sie als Teil eines Parameters oder eines Feldwerts verwendet werden, wodurch die Quellseite zu einer von Angreifern kontrollierten Website weitergeleitet wird.
|
| Schwellenwert für Entitätserweiterung für skriptfähige GlideXMLUtil minimieren [aktualisiert in Security Center 1,3, 1,5 und 2,0] |
- Neue Kurzbeschreibung: Schwellenwert für Entitätserweiterung minimieren für skriptfähige GlideXMLUtil
- Alte Kurzbeschreibung: Schwellenwert für Entitätserweiterung minimieren
- Neue Beschreibung: Diese Eigenschaft steuert den maximalen Betrag der Entitätserweiterung in einem XML-Parser. Wenn glide.xmlutil.max_entity_expansionIst nicht auf den empfohlenen Wert von 3000 oder weniger festgelegt, kann das skriptfähige GlideXMLUtil-Analysegerät angreifbar für Denial-of-Service-Angriffe sein.
- Alte Beschreibung: Diese Eigenschaft steuert den maximalen Betrag der Entitätserweiterung in einem XML-Parser. Wenn glide.xmlutil.max_entity_expansionIst nicht auf den empfohlenen Wert von 3000 oder weniger festgelegt, kann der XML-Parser für Denial-of-Service-Angriffe angreifbar sein.
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Legacy-Verhalten für GlideRecord-Umfangsabgrenzung deaktivieren [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0] |
- Neue Beschreibung: GlideRecord hat bereichsübergreifenden Erstellungs-/Aktualisierungszugriff für Tabellen bereitgestellt, die nicht mit dieser Zugriffsebene konfiguriert wurden. Um zu verhindern, dass bei Kunden Anwendungen beschädigt werden, wenn dieses bereichsbezogene Zugriffsverhalten gepatcht wurde, die Eigenschaft glide.record.legacy_cross_scope_access_policy_in_scriptWurde erstellt. Bei „wahr“ greift der bereichsübergreifende Zugriff auf veraltetes Verhalten zurück (unsicher). Diese Eigenschaft deaktiviert die Umfangsdefinition, sodass bereichsbezogene Apps auf globale Skriptschnittstellen zugreifen können. Es ist die beste Sicherheitspraxis, Umfangsbeschränkungen zu haben. Die Umfangsdefinition stellt sicher, dass Anwendungen nur mit explizitem Zugriff oder innerhalb ihres Umfangs auf Ressourcen zugreifen können, wobei das Prinzip der geringsten Berechtigung befolgt wird. Das Deaktivieren dieser Funktion kann Auswirkungen auf Vertraulichkeit, Verfügbarkeit und Integrität haben.
- Alte Beschreibung: Veraltetes Verhalten hat Erstellungs-/Aktualisierungszugriff auf Tabellen bereitgestellt, die dies nicht zulassen. Um zu verhindern, dass bei Legacy-Kunden Anwendungen beschädigt werden, wenn dieses bereichsbezogene Zugriffsverhalten gepatcht wurde, die Eigenschaft glide.record.legacy_cross_scope_access_policy_in_scriptWurde erstellt. Bei „wahr“ greift der bereichsübergreifende Zugriff auf veraltetes Verhalten zurück (unsicher). Diese Eigenschaft deaktiviert die Umfangsdefinition, sodass bereichsbezogene Apps auf globale Skriptschnittstellen zugreifen können. Es ist die beste Sicherheitspraxis, Umfangsbeschränkungen zu haben. Die Umfangsdefinition stellt sicher, dass Anwendungen nur mit explizitem Zugriff oder innerhalb ihres Umfangs auf Ressourcen zugreifen können, wobei das Prinzip der geringsten Berechtigung befolgt wird. Das Deaktivieren dieser Funktion kann Auswirkungen auf Vertraulichkeit, Verfügbarkeit und Integrität haben.
|
| Aktualisierte Version des MultiSSO-Plugins aktivieren [aktualisiert in Security Center 1,3 Und 1,5 ] |
- Neue Kurzbeschreibung: Aktualisierte Version des Multi-SSO-Plugins aktivieren
- Alte Kurzbeschreibung: Aktualisierte Version des Multi-SSO-Plugins aktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| SSL in LDAP-Authentifizierung aktivieren [aktualisiert in Security Center 1,5 und 2,0] |
Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Passwortzurücksetzung für api-Anforderungen erzwingen [aktualisiert im Sicherheitscenter 1,5] |
Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Passwortrichtlinie bei der Anmeldung nicht anwenden [in Security Center 1,5 aktualisiert und 2,0 entfernt] |
-
Neue Beschreibung: Durch Festlegen der Eigenschaft glide.apply.password_policy.on_loginAuf „falsch“ wird zum Zeitpunkt der Anmeldung keine Passwortkomplexität erzwungen. Wenn Sie die Eigenschaft auf „wahr“ festlegen, wird die Passwortkomplexität erzwungen und führt zu Compliance-Problemen der Organisation.
Gemäß ASVS 4,03 v2.1.9 Empfehlungen:
Stellen Sie sicher, dass keine Passwortzusammensetzungsregeln vorhanden sind, die den Typ der zulässigen Zeichen einschränken. Es dürfen keine Groß- oder Kleinbuchstaben, Zahlen oder Sonderzeichen erforderlich sein. (C6)
Anstelle der Durchsetzung der Passwortkomplexität empfiehlt ASVS, eine Passwortlänge von mindestens 12 Zeichen zu erzwingen.
Referenz: OWASP ASVS v4.0-Authentifizierung
- Alte Beschreibung:
Durch Festlegen der Eigenschaft glide.apply.password_policy.on_loginAuf „falsch“ wird zum Zeitpunkt der Anmeldung keine Passwortkomplexität erzwungen. Wenn Sie die Eigenschaft auf „wahr“ festlegen, wird die Passwortkomplexität erzwungen und führt zu Compliance-Problemen der Organisation. Gemäß ASVS 4,03 v2.1.9 Empfehlungen: Stellen Sie sicher, dass keine Passwortzusammensetzungsregeln vorhanden sind, die den Typ der zulässigen Zeichen einschränken. Es dürfen keine Groß- oder Kleinbuchstaben, Zahlen oder Sonderzeichen erforderlich sein. (C6) Anstelle der Durchsetzung der Passwortkomplexität empfiehlt ASVS, eine Passwortlänge von mindestens 12 Zeichen zu erzwingen. Referenz: OWASP ASVS v4.0-Authentifizierung
|
| Verwenden Sie keine Demozertifikate für aktive saml-Konfigurationen [Aktualisiert in Security Center 1,5] |
- Neue Kurzbeschreibung: Verwenden Sie keine Demozertifikate für aktive SAML-Konfigurationen
- Alte Kurzbeschreibung: Keine Demozertifikate für aktive SAML-Konfigurationen verwenden (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| SAML notBefore- oder notOnOrAfter-Einschränkungsdauer minimieren [aktualisiert in Security Center 1,3 Und 1,5 ] |
- Neue Kurzbeschreibung: Einschränkungsdauer für SAML „notBefore“ oder „notOnOrAfter“ minimieren
- Alte Kurzbeschreibung: Einschränkungsdauer für SAML „notBefore“ oder „notOnOrAfter“ minimieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
|
| Blockieren Sie abgelaufene Anti-CSRF-Token [Aktualisiert in Security Center 1,5] |
- Neue Kurzbeschreibung: Abgelaufene Anti-CSRF-Token blockieren
- Alte Kurzbeschreibung: Abgelaufene CSRF-Token blockieren
|
| Captcha für Gast-Walk-up-Experience in der Kundenserviceanwendung [Neu in Security Center 1,3 Und aktualisiert 1,5 ] |
- Neue Kurzbeschreibung: Captcha für Gast-Walk-up-Experience in Kundenserviceanwendung erforderlich
- Alte Kurzbeschreibung: Captcha für Gast-Walk-up-Experience in Kundenservice-Anwendung erfordern (Plugin-Anwendbarkeit: Gast-Walk-up-Experience für Kundenservice)
|
| Identitätswechsel bei ACL-Bewertung in HR-App überprüfen [Neu in Security Center 1,3 Und aktualisiert in 1,5] |
- Neue Kurzbeschreibung: Identitätswechsel bei ACL-Auswertung in HR-App überprüfen
- Alte Kurzbeschreibung: Identitätswechsel bei ACL-Auswertung in HR-App überprüfen (Plugin-Anwendbarkeit: Bereichsbezogene Human Resources-App)
|
| HR-Fallaktualisierungen aus persönlichen E-Mails beschränken [Neu in Security Center 1,3 Und aktualisiert 1,5 ] |
- Neue Kurzbeschreibung: HR-Fallaktualisierungen aus persönlichen E-Mails einschränken
- Alte Kurzbeschreibung: HR-Fallaktualisierungen aus persönlichen E-Mails beschränken (Plugin-Anwendbarkeit: Bereichsbezogene Human Resources-App)
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Aktivieren Sie das MID-Audit-Protokoll [Neu in Security Center 1,3 Und aktualisiert in 1,5] |
- Neue Kurzbeschreibung: MID-Audit-Protokoll aktivieren
- Alte Kurzbeschreibung: MID-Audit-Protokoll aktivieren (Plugin-Anwendbarkeit: MID-Server)
|
| Nutzung des Anmeldeinformationsalias erzwingen [Neu in Security Center 1,3 Und aktualisiert 1,5 ] |
- Neue Kurzbeschreibung: Nutzung des Anmeldeinformationsalias erzwingen
- Alte Kurzbeschreibung: Nutzung des Anmeldeinformationsalias erzwingen (Plugin-Anwendbarkeit: MID-Server)
|
| Erforderliche jms-Connection Factorys [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0] |
- Neue Kurzbeschreibung: Erforderliche JMS-Connection Factorys
- Alte Kurzbeschreibung: Erforderliche JMS-Connection Factorys (Plugin-Anwendbarkeit: MID-Server)
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Anhangsgröße in Trainings- und Vorhersageflows begrenzen [Neu in Security Center 1,3 Und aktualisiert 1,5 ] |
- Neue Kurzbeschreibung: Anhangsgröße in Trainings- und Vorhersage-Flows begrenzen
- Alte Kurzbeschreibung: Anhangsgröße in Trainings- und Vorhersageflows begrenzen (Plugin-Anwendbarkeit: Platform Document Intelligence)
|
| Stellen Sie sicher, dass ACLs der Archivtabelle aktiviert sind [Neu in Security Center 1,3 und aktualisiert in 1,5] |
Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern. |
| Audit-Ereignisse für Protokollsitzungen [Neu in Security Center 1,3 und aktualisiert in 1,5] |
- Neue Beschreibung: Wenn die Glide-Eigenschaft glide.authenticate.session_access.log_audit_eventIst auf „wahr“ festgelegt, werden Sitzungs-Audit-Ereignisse in der Tabelle „sys_Session_Access_Audit“ erstellt. Es wird empfohlen, Informationen darüber zu protokollieren, wer auf eine Sitzung zugegriffen hat, um Untersuchungen böswilliger Akteure zu unterstützen. Protokollierte Informationen umfassen Anwender, Sitzungs-ID (nicht vertraulich), IP-Adresse, Rollen und Richtlinien.
- Alte Beschreibung: Wenn die Glide-Eigenschaft glide.authenticate.session_access.log_audit_eventIst auf „wahr“ festgelegt, werden Sitzungs-Audit-Ereignisse in der Tabelle „sys_Session_Access_Audit“ erstellt. Es wird empfohlen, allgemeine Informationen zum Sitzungszugriff zu protokollieren, um Untersuchungen böswilliger Akteure zu unterstützen. Protokollierte Informationen umfassen Anwender, Sitzungs-ID (nicht vertraulich), IP-Adresse, Rollen und Richtlinien.
|
| Bereichsbezogenen ACL-Zugriff für Playbooks für Informationsanforderungen erzwingen [neu in Security Center 1,3 und aktualisiert 1,5] |
- Neue Kurzbeschreibung: Bereichsbezogenen ACL-Zugriff für Playbooks für Informationsanforderungen erzwingen
- Alte Kurzbeschreibung: Bereichsbezogenen ACL-Zugriff für Playbooks für Informationsanforderungen erzwingen
- Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
|
| Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0] |
- Neue Beschreibung: Die Glide-Eigenschaft glide.active.session.timeout.invalidate.sessionSteuert, ob eine Sitzung mit Zeitüberschreitung proaktiv für ungültig erklärt wird, bevor der Tomcat-Container die Sitzung für ungültig erklärt. Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, kann es ein kleines Zeitintervall geben, in dem eine Sitzung mit Zeitüberschreitung nicht für ungültig erklärt wird (mehr als 60 Sekunden, abhängig von der Warteschlangengröße). Wenn eine Sitzung gekapert wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise eine Sitzung verwenden.
- Alte Beschreibung: Die Glide-Eigenschaft glide.active.session.timeout.invalidate.sessionSteuert, ob eine Zeitüberschreitungssitzung proaktiv vor dem Tomcat-Container für ungültig erklärt wird. Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, kann es ein kleines Zeitintervall geben, in dem eine Sitzung mit Zeitüberschreitung nicht für ungültig erklärt wird (mehr als 60 Sekunden, abhängig von der Warteschlangengröße). Wenn eine Sitzung gekapert wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise eine Sitzung verwenden.
|
| Größe des HTTP-Antworttexts begrenzen [Neu in Security Center 1,3 Und aktualisiert 1,5 ] |
- Neue Kurzbeschreibung: HTTP-Antworttextgröße begrenzen
- Alte Kurzbeschreibung: Stellen Sie sicher, dass HTTP-Antworten aufgrund der Größe des Antworttexts keine OutofMemory-Ausnahme auslösen
|