허용 목록 패키지 호출 확인(인스턴스 보안 강화)
sys_whitelist_package 테이블에서 필요에 따라 포함 목록 패키지 호출 항목을 검토하고 제거합니다.
패키지 호출 항목은 서버 측의 Java 리소스에 액세스하여 적절한 유효성 검사 없이 애플리케이션 기반 작업을 수행할 수 있습니다. 고객 데이터의 무단 공개 또는 변경을 유발할 수 있기 때문에 심각한 보안 문제가 발생합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 테이블 이름 | sys_whitelist_package 주: 최신 릴리스에서는 관리자만 고객 서비스 및 지원 이 테이블에 액세스할 수 있습니다. |
| 구성 유형 | 테이블 |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | 이 테이블에서 항목을 검토하고 제거합니다. |
| 권장 값 | 테이블에 기록이 없어야 합니다(목록은 비어 있어야 합니다). |
| 기능적 영향 | (낮음) 패키지 호출 제거 도구를 실행한 결과를 검토하고 승인하는 한 영향이 없어야 합니다. 인스턴스가 제대로 작동하는지 확인하려면 프로덕션 환경에 배포하기 전에 비프로덕션 환경에서 변경 내용을 테스트합니다. 자세한 내용은 패키지 호출 제거 도구 문서를 참조하십시오. |
| 보안 위험 | 서버에서 데이터 검색 또는 개체 액세스를 초래하는 (높은) 클라이언트 측 API 호출은 보안 관점에서 위험한 것으로 간주됩니다. 중요한 개체 액세스의 권한 부여 및 제한에 대해 이러한 항목을 확인합니다. |
| 임시 해결책 | 도움이 필요하면 ServiceNow 지원팀에 문의하십시오. |
구성 단계
- 패키지 호출 제거 도구(Packages Call Removal Tool) 플러그인을 활성화합니다. 자세한 내용은 패키지 호출 제거 도구를 참조하세요.
- 필터 탐색기를 사용하여 패키지 호출 제거 유틸리티로 이동합니다.
- (1)부터 (4)까지 각 스크립트를 클릭합니다. 출력을 기다린 후 다음 출력으로 진행합니다.
- 스크립트(4)를 실행하면 영향을 받는 필드 목록이 패키지 호출 항목 페이지에 나타납니다.
- 제안됨 및 오류 섹션의 모든 문제를 해결합니다.주:이 도구는
sa_mapping_ext_commands및 sa_custom_operation에서 사용되는 일부 패키지 호출을 보고할 수있습니다. 이러한 패키지 호출은 MID 서버에 속합니다. 클래스가 없기 때문에 코드는 MID 서버에서 실행됩니다. 오류 섹션에서 다음 패키지 호출을 찾으면 거부됨 (무시됨)으로 표시합니다. 도구는 해당 패키지 호출을 다시 보고하지 않습니다.Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);Packages.com.snc.sw.commands.HttpCallHandler입니다.Packages.com.snc.sw.dto.ProviderType.SSH
- 추가 수정을 위해 지원팀에 문의하십시오 ServiceNow .