Identifie les applications activées sur votre instance qui ont des versions mises à jour disponibles.

Vérifiez que vous utilisez les versions les plus récentes des applications du magasin, qui peuvent inclure des correctifs pour les problèmes de sécurité potentiels.

Identifie les scripts directement invocables par les utilisateurs finaux (tels que les includes de script pouvant être appelés par le client, les widgets, les processeurs, les points de terminaison REST)

Ces scripts doivent respecter les ACL et utiliser GlideRecordSecure ou GlideRecord avec canRead, canWrite, canCreate, canDelete.

Identifie les scripts dans lesquels JavaScript Content Access Control est utilisé pour autoriser ou refuser des bibliothèques JavaScript tierces spécifiques.

Examinez les personnalisations des instances pour vérifier que les bibliothèques ne sont pas utilisées avant de bloquer l’accès. La table Suivi de l’accès au fournisseur de contenu JavaScript [sys_js_content_provider_access_tracking] peut être revue pour voir la date du dernier accès à la bibliothèque.

Identifie les includes de script pouvant être appelés par les clients qui n’ont pas d’ACL correspondante. Ces scripts utilisent l’ACL d’include de script client pouvant être appelé par défaut (« * »).

Pour ces scripts, créez des ACL qui définissent les critères d’accès appropriés pour vérifier que seuls les utilisateurs attendus peuvent interagir avec la fonctionnalité fournie.

Identifie les créateurs d’enregistrements qui n’ont pas de validation côté serveur supplémentaire. Cette vérification identifie les tables personnalisées avec un créateur d’enregistrement, mais sans règle métier associée.

Ceux-ci peuvent permettre aux utilisateurs de soumettre des données inattendues dans la table associée.

Identifie les enregistrements ACL qui n’ont pas de script, de condition, d’attribut de sécurité ou de rôle, ou les ACL avec le rôle public .

Laisser les ACL vides ou utiliser le rôle public permet d’accéder librement à tout contenu protégé par cette ACL.

Identifie les champs HTML dans lesquels l’assainissement HTML est inactif.

L’assainissement HTML supprime ou remplace les éléments et attributs potentiellement dangereux dans le code HTML. Examinez les champs HTML où le nettoyage est inactif pour confirmer si cette configuration est nécessaire.

Identifie les modules d’extension non activés qui fournissent des contrôles de sécurité supplémentaires configurables. Les résultats de cette vérification sont fournis à titre informatif.

Avant d’activer l’un des modules d’extension identifiés, vérifiez qu’il répond à vos cas d’utilisation ou à vos besoins. Vous pouvez désactiver le son de ces résultats si vous n’avez pas de cas d’utilisation pour l’élément identifié.

Identifie les plages de contrôle d’accès aux adresses IP qui contiennent un grand nombre d’adresses IP.

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie les schémas GraphQL publics dans la table API GraphQL [sys_graphql_schema].

Ces schémas peuvent être configurés pour être disponibles sans authentification. Selon la fonctionnalité du point de terminaison, cela peut permettre à des utilisateurs non authentifiés d’effectuer des actions inattendues ou d’interagir avec des données inattendues.

Identifie les bases de connaissances et les articles de la base de connaissances configurés pour permettre l’accès aux utilisateurs non authentifiés.

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie les points de terminaison d’API REST dans la table Ressource REST scriptée [sys_ws_operation] qui sont configurés pour être disponibles sans authentification.

Selon la fonctionnalité du point de terminaison, cela peut permettre à des utilisateurs non authentifiés d’effectuer des actions inattendues ou d’interagir avec des données inattendues.

Identifie les pages de Portail de services qui sont rendues publiques. Les pages du portail de services sont mises à la disposition des utilisateurs non authentifiés en définissant le champ « public » sur « vrai ».

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie les pages de l’interface utilisateur qui sont rendues publiques. Les pages de l'interface utilisateur peuvent être mises à la disposition des utilisateurs non authentifiés à l'aide de la page [sys_public].

Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise.

Identifie tous les rôles (table Rôles [sys_user_role]) qui contiennent le rôle administrateur .

Le rôle administrateur accorde aux utilisateurs des privilèges administratifs et ne doit être utilisé que lorsque cela est nécessaire. Vérifiez et confirmez que la configuration actuelle correspond aux besoins de votre entreprise. S’il s’agit d’une configuration intentionnelle, cette vérification peut être désactivée.

Identifie les pages de l’interface utilisateur qui n’ont pas d’ACL pour cette page de l’interface utilisateur.

Les pages de l’interface utilisateur qui n’ont pas d’ACL spécifique utilisent par défaut une ACL de page d’interface utilisateur générique, qui peut accorder l’accès à des utilisateurs non prévus.

Identifie les utilisateurs avec des mots de passe définis localement.

Les utilisateurs avec des mots de passe locaux peuvent interagir avec l’instance via des API en utilisant les informations d’identification locales, même si les connexions locales ne sont pas autorisées. Cette configuration de mot de passe est nécessaire pour que les comptes d’utilisateurs d’intégration fonctionnent correctement.

Examinez ces comptes d’utilisateurs pour vérifier que seuls les utilisateurs prévus (tels que les comptes d’intégration) peuvent s’authentifier avec l’authentification locale.

Identifie les comptes d’utilisateurs avec des mots de passe créés dans les versions précédentes de Now Platform, qui peuvent avoir utilisé ce qui est maintenant considéré comme un algorithme de hachage hérité ou obsolète.

Les comptes créés sur les anciennes versions de la plateforme qui n’ont pas fait l’objet d’une rotation des mots de passe peuvent toujours avoir des mots de passe stockés avec un algorithme de hachage hérité. Examinez les comptes identifiés créés, envisagez des réinitialisations de mot de passe.

Identifie les créateurs d’enregistrements non sécurisés.

Si elles ne sont pas affectées aux rôles appropriés, les utilisateurs non autorisés peuvent y accéder, révélant potentiellement des informations sensibles. Affectez les rôles appropriés aux créateurs d’enregistrements afin de vérifier qu’ils ne sont accessibles qu’aux utilisateurs qui en ont besoin.