Aufrufe von Allow-Listenmitgliedern überprüfen (Härtung der Instanzsicherheit)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Überprüfen und entfernen Sie die Aufrufeinträge für Aufnahmelistenmitglieder nach Bedarf aus der Tabelle „sys_whitelist_member“.

    Mitgliedsaufrufeinträge können auf die Java-Ressourcen auf der Serverseite zugreifen, um anwendungsbasierte Vorgänge ohne entsprechende Validierung auszuführen. Da dies zu unbefugten Offenlegungen oder Änderungen von Kundendaten führen kann, stellt dies ein erhebliches Sicherheitsrisiko dar.

    Weitere Informationen

    Attribut Beschreibung
    Tabellenname sys_whitelist_member
    Hinweis:
    In den letzten Releases können nur ServiceNow-Mitarbeiter auf diese Tabelle zugreifen. nicht einmal Administratoren sind dazu in der Lage.
    Konfigurationstyp Tabelle
    Konfigurieren Sie im Instanz-Sicherheitszentrum Ja
    Zweck Zum Überprüfen und Entfernen von Einträgen aus dieser Tabelle.
    Empfohlener Wert In der Tabelle darf kein Datensatz vorhanden sein (die Liste muss leer sein).
    Funktionale Auswirkung (Niedrig) Es sollte keine Auswirkungen geben, solange Sie die Ergebnisse überprüfen und genehmigen, die beim Ausführen des Tools zum Entfernen von Paketaufrufen generiert werden.

    Um sicherzustellen, dass die Instanz ordnungsgemäß funktioniert, testen Sie die Änderungen in einer Nicht-Produktionsumgebung, bevor Sie sie in der Produktionsumgebung bereitstellen. Weitere Informationen finden Sie unter Tool zur Paketaufrufentfernung.
    Sicherheitsrisiko (Hoch) Clientseitige API-Aufrufe, die zum Datenabruf oder Objektzugriff auf dem Server führen, gelten aus Sicherheitsgründen als gefährlich. Validieren Sie diese Elemente für die Autorisierung und Einschränkung des Zugriffs auf vertrauliche Objekte.

    Schritte zum Konfigurieren von

    Hinweis:
    Die folgenden Schritte ähneln den Schritten, die in den Abschnitten „Schritte zum Konfigurieren“ in beschrieben werden:

    Wenn Sie sie bereits abgeschlossen haben, können Sie diese Schritte überspringen.

    1. Aktivieren Sie das Plugin „Packages Call Removal Tool“. Weitere Informationen finden Sie unter Tool zur Paketaufrufentfernung.
    2. Navigieren Sie im Filternavigator zu Pakete Dienstprogrammzur Entfernung von Aufrufen.
    3. Klicken Sie auf jedes Skript von (1) bis (4). Warten Sie auf die Ausgabe, und fahren Sie dann mit der nächsten fort.
    4. Sobald Sie das Skript (4) ausgeführt haben, wird eine Liste der betroffenen Felder auf der Seite „Paketaufruf-Elemente“ angezeigt.
    5. Lösen Sie alle Elemente in den Abschnitten „Vorgeschlagen“ und „Fehler“.
      Hinweis:
      Dieses Tool meldet möglicherweise einige Paketaufrufe, die in „sa_mapping_ext_commands“ und „sa_custom_operation“verwendet werden. Diese Paketaufrufe gehören zum MID Server. Da keine Klassen vorhanden sind, wird der Code in MID Server ausgeführt. Wenn Sie die folgenden Mitgliedsaufrufe im Abschnitt „Fehler“ finden, markieren Sie sie als „ Abgelehnt (Ignoriert)“. Das Tool meldet diesen Mitgliedsanruf nicht mehr.
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_content);
      • Packages.com.snc.sw.util.JSONUtil.toJSONPlain(file_name);
      • Packages.com.snc.sw.commands.HttpCallHandler;
      • Packages.com.snc.sw.dto.ProviderType.SSH
    6. Wenden Sie sich an den ServiceNow -Support, um weitere Korrekturen zu erhalten.