| SOAP 요청에 대해 권한 부여 필요 [Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새 기술 구성 이름: glide.basicauth.required.soap, glide.soap.require_ws_security
- 이전 기술 구성 이름: glide.basicauth.required.soap
- 새로운 설명: Glide 속성은 glide.basicauth.required.soap 인스턴스에 SOAP를 요청하는 데 기본 인증이 필요한지 여부를 제어합니다. 권장 값인 true로 설정되지 않은 경우 glide.basicauth.required.soap SOAP 작업을 수행하는 인증되지 않은 사용자는 soap.guest 사용자에 매핑됩니다. 이렇게 하면 미인증 사용자가 인스턴스에 로그인한 사용자인 것처럼 인스턴스에서 작업을 수행할 수 있습니다. 내에서 com.glide.soap.guest_user 정의한 사용자에게 추가 역할이 할당되면 추가적인 영향이 있을 수 있습니다.
- 이전 설명: Glide 속성은 glide.basicauth.required.soap 인스턴스에 SOAP를 요청하는 데 인증이 필요한지 여부를 제어합니다. glide.basicauth.required.soap 가 권장 값인 true로 설정되지 않은 경우 인스턴스의 SOAP 요청에 대해 인증이 비활성화됩니다. 관리자 또는 유지 관리 수준 작업에 대한 인증되지 않은 액세스를 허용합니다. 인스턴스 내의 보안 제어를 무효화합니다.
- 새 정정: 속성이 glide.basicauth.required.soap true 값으로 설정되어 있는지 확인합니다. 또는 속성을 glide.soap.require_ws_security 예로 설정하고 제품 설명서에 따라 WS 보안 프로파일을 구성하여 WS 보안에 대한 인스턴스를 구성하십시오.
- 이전 정정: 속성이 glide.basicauth.required.soap sys_properties 테이블에 있고 true로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| 이스케이프 Jelly 스크립트[Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 설명: 이 속성은 출력 스트림에 기록되기 전에 포함된 모든 JS 및 HTML 문자열을 이스케이프하여 여러 XSS 문제가 발생하지 않도록 합니다. glide.ui.escape_all_script 권장 값인 true로 설정되지 않은 경우 Jelly에 주입된 스크립트의 이스케이프가 비활성화됩니다. 이러한 완화가 없으면 플랫폼은 다양한 스크립트 삽입 공격에 널리 개방됩니다. 공격자는 인스턴스에서 임의의 Rhino 스크립트를 실행할 수 있습니다.
- 이전 설명: 다음 속성은 <j:jelly>에 포함된 모든 JS 및 HTML 문자열을 이스케이프합니다. </j:jelly> 출력 스트림에 기록되기 전에 여러 XSS 문제가 발생하지 않도록 합니다. 권장 값인 "예"로 설정되지 않은 경우 glide.ui.escape_all_script Jelly에 주입된 스크립트의 이스케이프가 비활성화됩니다. 이러한 완화가 없으면 플랫폼은 다양한 스크립트 삽입 공격에 널리 개방됩니다. 공격자는 인스턴스에서 임의의 Rhino 스크립트를 실행할 수 있습니다.
|
| 사용자가 CSRF 유효성 검사를 바이패스하기 위한 경고를 수락하지 못하도록 방지 [보안 센터 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 사용자가 CSRF 유효성 확인을 바이패스하기 위해 경고를 수락하지 못하도록 방지
- 이전 간단한 설명: CSRF 토큰 엄격한 유효성 확인 강제 적용
- 새 설명: 이 속성은 사용자가 잠재적으로 악의적인 요청을 인스턴스로 보낼 수 있는 경고를 수락할 수 없도록 합니다. 이 경고는 피해자의 다른 활성 세션 중 하나에 속하는 안티-CSRF 토큰이 일치하지 않아 POST 요청이 실패할 때 나타납니다. 권장 값인 true로 설정되지 않은 경우 glide.security.csrf.strict.validation.mode 공격자는 피해자에게 속한 다른 활성 세션에서 유출된 안티-CSRF 토큰을 사용하여 CSRF 공격을 공식화할 수 있습니다. 인스턴스에 대한 POST 요청에는 사용자의 현재 세션과 일치하는 sysparm_ck 또는 X-UserToken 내에 안티-CSRF 토큰이 포함되어 있습니다. 안티-CSRF 토큰이 사용자의 다른 활성 세션 중 하나에 대신 연결된 경우 POST 요청은 이 속성이 false로 설정된 경우 사용자가 사용할 수 있는 계속 단추를 사용하여 security_interceptor.do에 대한 302 리디렉션을 반환합니다. 이 단추를 클릭하면 인스턴스에 요청을 다시 제출합니다(단, 이제 유효한 안티-CSRF 토큰이 있는 경우는 제외). 이 특성을 예로 설정하면 security_interceptor.do 페이지로의 302 리디렉션에 계속 단추가 표시되지 않으며 사용자가 요청을 다시 제출할 수 없습니다. CSRF 공격이 성공하면 공격자는 피해자가 수행할 수 있는 모든 작업을 효과적으로 수행할 수 있습니다.
- 이전 설명: 이 속성을 사용하면 CSRF 토큰의 재사용을 방지하는 CSRF 토큰의 엄격한 유효성 검사를 사용할 수 있습니다. glide.security.csrf.strict.validation.mode 권장 값인 true로 설정되지 않은 경우 CSRF 토큰을 다시 사용할 수 있으므로 CSRF 공격에 노출될 수 있습니다.
- 새로운 CVSS 점수: 3.7
- 이전 CVSS 점수: 3.1
|
| 이벤트 관리 HTTP 프로세서에서 인증 필요[Security Center 1.3의 새로운 기능, 1.5에서 업데이트, 2.0에서 제거됨] |
- 새로운 짧은 설명: 이벤트 관리 HTTP 프로세서에서 인증 필요
- 이전 간단한 설명: 이벤트 관리 HTTP 프로세서에서 인증 필요
|
| 안티-CSRF 토큰 사용[Security Center 1.3의 새로운 기능, 1.5에서 업데이트, 2.0에서 제거됨] |
- 새로운 설명: CSRF(교차 사이트 요청 위조)는 인증된 사용자가 현재 인증된 웹 응용 프로그램에 요청을 제출하도록 강제하는 공격입니다. CSRF 공격은 웹 응용 프로그램이 인증된 사용자에 대해 가지고 있는 신뢰를 악용합니다. 이 속성을 사용하면 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. glide.security.use_csrf_token 권장 값인 true로 설정되지 않은 경우 CSRF를 사용할 수 있습니다.
- 이전 설명: CSRF(교차 사이트 요청 위조)는 인증된 사용자가 현재 인증된 웹 애플리케이션에 요청을 제출하도록 강제하는 공격입니다. CSRF 공격은 웹 응용 프로그램이 인증된 사용자에 대해 가지고 있는 신뢰를 악용합니다. 이 속성을 사용하면 보안 토큰 사용을 식별하고 수신 요청을 확인할 수 있습니다. 이 토큰은 교차 사이트 요청 위조 공격을 방지하는 데 사용됩니다. glide.security.use_csrf_token 권장 값인 true로 설정되지 않은 경우 CSRF를 사용할 수 있습니다.
|
| 가상 에이전트 내에서 HTML 위생 검사 사용 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 가상 에이전트 내에서 HTML 위생 검사 사용
- 이전 간단한 설명: HTML 위생 검사 사용
- 새로운 설명: 이 속성은 HtmlSanitizerService의 사용 여부를 제어합니다. com.glide.cs.html.sanitizer.enabled true로 설정되지 않은 경우 VA 웹 클라이언트에 저장된 XSS(교차 사이트 스크립팅) 공격이 가능합니다.
- 이전 설명: 이 속성은 HTMLSanitezerService의 사용 여부를 제어합니다. com.glide.cs.html.sanitizer.enabled true로 설정되지 않은 경우 VA 웹 클라이언트에 저장된 XSS(교차 사이트 스크립팅) 공격이 가능합니다.
|
| 명시적 외부 역할에 대한 내부 액세스 거부 [Security Center 1.3 및 1.5에서 업데이트됨] |
|
| WSDL 요청에 대해 인증 필요 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 설명: glide.basicauth.required.wsdl 권장 값인 예로 설정되지 않은 경우 WSDL 요청에 대한 기본 인증이 비활성화됩니다. WSDL은 인스턴스 테이블 스키마와 같은 웹 서비스를 설명하는 데 사용되는 프로토콜이며 테이블 내에서 데이터를 공유하기 위한 메커니즘이 아닙니다. 이 속성을 예로 설정하면 미인증 사용자에게 테이블 스키마를 공개할 수 있습니다.
- 이전 설명: glide.basicauth.required.wsdl 권장 값인 예로 설정되지 않은 경우 WSDL 요청에 대한 기본 인증이 비활성화됩니다. 이로 인해 인증되지 않은 사용자에게 정보가 공개될 수 있습니다.
- 새로운 CVSS 점수: 5.3
- 이전 CVSS 점수: 4.3
|
| URL 허용 목록 검사 강제 적용[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 제한된 다운로드 가능한 MIME 유형 정의[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새로운 짧은 설명: 제한된 다운로드 가능한 MIME 유형 정의
- 이전 간단한 설명: 다운로드 가능한 MIME 유형 제한
- 새로운 설명: text/html,image/svg,image/svg+xml,application/xml과 같은 위험한 항목이 포함된 경우 glide.ui.attachment.download_mime_types 브라우저에서 위험한 파일을 인라인으로 렌더링하여 XSS(Cross Sitte Scripting) 공격으로 이어질 수 있습니다. 이 속성은 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 예를 들어 text/html을 포함하면 HTML 파일이 브라우저에서 인라인으로 표시되지 않고 첨부 파일로 클라이언트에 다운로드됩니다. 이 목록을 제대로 유지하면 교차 사이트 스크립팅 공격을 방지할 수 있습니다.
- 이전 설명: text/html,image/svg,image/svg+xml,application/xml과 같은 위험한 항목이 포함된 경우 glide.ui.attachment.download_mime_types 브라우저에서 위험한 파일을 인라인으로 렌더링하여 XSS(Cross Sitte Scripting) 공격으로 이어질 수 있습니다. 이 속성은 브라우저에서 인라인으로 렌더링되지 않는 쉼표로 구분된 첨부 파일 MIME 유형의 목록입니다. 예를 들어 text/html을 포함하면 html 파일이 브라우저에서 인라인으로 표시되지 않고 첨부 파일로 클라이언트에 다운로드됩니다. 이 목록을 제대로 유지하면 교차 사이트 스크립팅 공격을 방지할 수 있습니다.
|
| 목록 뷰에서 HTML 이스케이프 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새 설명: 이 속성은 HTML 필드가 표시되는 목록 뷰를 정리하는 데 도움이 됩니다. 권장 값인 true로 설정되지 않은 경우 glide.ui.escape_html_list_field 악의적인 사용자가 양식 필드 내에 HTML 코드를 삽입하여 다른 클라이언트/사용자 세션에서 원치 않는 스크립트를 실행할 수 있습니다. 이는 공격자가 세션 정보와 중요한 데이터를 훔치는 데 활용할 수 있습니다.
- 이전 설명: 다음 속성은 HTML 필드가 표시되는 목록 뷰를 정리하는 데 도움이 됩니다. 권장 값인 true로 설정되지 않은 경우 glide.ui.escape_html_list_field 악의적인 사용자가 양식 필드 내에 HTML 코드를 삽입하여 다른 클라이언트/사용자 세션에서 원치 않는 스크립트를 실행할 수 있습니다. 이는 공격자가 세션 정보와 중요한 데이터를 훔치는 데 활용할 수 있습니다.
|
| 외부 사용자 등록을 위한 전자 메일 도메인 제한 [Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새로운 간단한 설명: 외부 사용자 등록을 위한 이메일 도메인 제한
- 이전의 간단한 설명: 외부 사용자 등록을 위한 이메일 도메인 제한(플러그인 적용 가능성: 외부 사용자 등록)
- 새로운 설명: 이 sn_ext_usr_reg.allowed_email_domains 속성은 ServiceNow 인스턴스에 셀프 등록할 수 있는 이메일 주소를 정의합니다. 이 허용 가능한 도메인 목록으로 설정되지 않은 경우 sn_ext_usr_reg.allowed_email_domains 이메일 주소가 있는 사용자는 인스턴스에 계정을 등록할 수 있습니다. 정의되지 않은 경우 악의적인 행위자는 원치 않는 도메인의 이메일 주소를 사용해 등록을 수행하여 인스턴스에 대한 인증된 액세스 권한을 얻을 수 있습니다.
- 이전 설명: 허용 가능한 도메인의 허용 목록으로 설정되지 않은 경우 sn_ext_usr_reg.allowed_email_domains 악의적인 행위자가 원치 않는 도메인의 이메일 주소를 사용하여 등록을 수행할 수 있습니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| 외부 사용자 등록에 Captcha 사용 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 외부 사용자 등록에 Captcha 사용
- 이전 간단한 설명: 외부 사용자 등록에 Captcha 사용(플러그인 적용 가능성: 외부 사용자 등록)
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| 외부 사용자 등록 링크 만료 기간 최소화 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 외부 사용자 등록 링크 만료 기간 최소화
- 이전의 간단한 설명: 외부 사용자 등록 링크 만료 기간 최소화(플러그인 적용 가능성: 외부 사용자 등록)
- 규칙 스크립트: 탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다.
|
| 감염된 파일 다운로드 사용 안 함[Security Center 1.5 및 2.0에서 업데이트됨] |
- 새로운 간단한 설명: Disallow Infected File Download
- 오래된 간단한 설명: 감염된 파일 다운로드 사용 안 함
- 새 정정: 속성이 com.glide.snap.infected_download_allowed False로 설정되어 있는지 확인합니다.
- 이전 정정: 속성이 com.glide.snap.infected_download_allowed 예로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| AttachmentCreator SOAP Web Service에서 파일 MIME 형식 확인[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 설명: glide.attachment.enforce_security_validation 권장 값인 예로 설정되지 않은 경우 첨부 파일 MIME 유형에 대한 확인이 수행되지 않으며 잘못된 파일 확장자를 사용하여 위험한 파일이 시스템에 업로드될 수 있습니다. 이 속성을 true로 설정하면 파일이 올바른 파일 형식 확장자로 업로드됩니다. 최소한 MIME 형식 유효성 검사를 사용하여 파일 업로드의 유효성을 검사하는 것이 보안 베스트 프랙티스입니다.
- 이전 설명: glide.attachment.enforce_security_validation 권장 값인 예로 설정하지 않으면 첨부 파일 MIME 유형에 대한 확인이 수행되지 않으며 잘못된 파일 확장자를 사용하여 위험한 파일이 시스템에 업로드될 수 있습니다. 이 속성을 true로 설정하면 파일이 올바른 파일 형식 확장자로 업로드됩니다. 최소한 MIME 형식 유효성 검사를 사용하여 파일 업로드의 유효성을 검사하는 것이 보안 베스트 프랙티스입니다.
- 새 정정: 속성이 glide.attachment.enforce_security_validation true로 설정되어 있는지 확인합니다.
- 이전 정정: 속성이 glide.attachment.enforce_security_validation 예로 설정되어 있는지 확인합니다.
|
| MultiSSO 디버깅 사용 안 함[Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: MultiSSO 디버깅 사용 안 함
- 이전 간단한 설명: MultiSSO 디버깅 사용 안 함(플러그인 적용 가능성: 다중 제공자 SSO(Single Sign-On))
|
| 허용된 ServiceNow 내부 IP 주소 정의 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새 기술 구성 이름: glide.ip.authenticate.strict
- 이전 기술 구성 이름: glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
- 새로운 설명: glide.ip.authenticate.strict 예로 설정되면 내부 ServiceNow 담당자와 시스템은 필수 IP 범위에서 인스턴스에 대한 인바운드 연결만 만들 수 있습니다. 이러한 제한으로 인해 ServiceNow는 필수 내부 인프라에 대한 인스턴스를 볼 수 있으며 기업 네트워크를 통해 지원 및 영업 직원과 같은 광범위한 ServiceNow 담당자가 액세스할 수 없게 됩니다. "예"로 설정하면 이 glide.ip.authenticate.allow 속성은 내부 ServiceNow 인바운드 연결을 부여하는 데 사용됩니다. true로 설정되지 않은 경우 정의된 glide.ip.authenticate.allow 더 광범위한 ServiceNow 내부 IP 범위를 사용하여 내부 ServiceNow 인바운드 연결을 부여합니다.
- 이전 설명: 예로 설정된 경우 glide.ip.authenticate.strict 다음에 glide.ip.authenticate.allow.secured 지정된 IP 범위만 인스턴스에 대한 인바운드 연결을 만들 수 있습니다. 이 속성에는 필수 ServiceNow 내부 IP 범위(보안 VPN, DC) 목록만 포함되어 있습니다. glide.ip.authenticate.allow.secured 권장 값 또는 순열 "10.0.0.0/8, 37.98.232.0/21, 103. 23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1" 또는 최신 값 목록 "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1" IPv6 localhost를 Utah에 추가하는 경우 SN DataCenter 외부의 신뢰할 수 없는 소스를 허용하고 보안 VPN이 중요한 정보에 액세스하도록 허용할 수 있습니다. 인스턴스의 엔드포인트를 모니터링합니다.
- 새 정정: 속성에 glide.ip.authenticate.allow.secured 신뢰할 수 있는 값만 포함되어 있고 속성이 glide.ip.authenticate.strict true로 설정되어 있는지 확인합니다.
- 이전 정정: 속성에 glide.ip.authenticate.allow.secured "10.0.0.0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127.0.0.1, 0:0:0:0:0:0:0:1, ::1"의 값만 포함되어 있고 속성이 glide.ip.authenticate.strict true로 설정되어 있는지 확인합니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함 [Security Center 1.5에서 업데이트됨] |
- 새로운 간단한 설명: XMLDocument2 스트리밍 파서 내에서 엔터티 확장 사용 안 함
- 이전 간단한 설명: 엔터티 확장 사용 안 함
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| 닷워킹 필드에 도메인 분리 적용 [Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새로운 간단한 설명: 닷워킹 필드에 도메인 분리 적용
- 이전의 간단한 설명: 닷워킹 필드에 도메인 분리 적용(플러그인 적용 가능성: 도메인 분리)
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| CMDB 모델에 대한 권한 제한 [Security Center 1.3 및 1.5에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 모바일 애플리케이션을 백그라운드로 지정할 때 붙여 넣기 보드 지우기 필요 [Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 설명: 이 glide.sg.clear_pasteboard_when_backgrounded 속성은 앱이 백그라운드 모드가 된 후 ServiceNow 모바일 앱에서 복사한 텍스트가 클립보드 및 붙여넣기 보드에 보관되는지 여부를 제어합니다. 권장 값인 true로 설정되지 않은 경우 중요한 정보가 Android 또는 iOS 클립보드에 공개되어 디바이스의 다른 애플리케이션에 노출될 수 있습니다.
- 이전 설명: 이 속성은 glide.sg.clear_pasteboard_when_backgrounded 앱에 포커스가 더 이상 없으면 ServiceNow 모바일 앱에서 복사한 텍스트가 클립보드/붙여넣기 보드에 보관되는지 여부를 제어합니다. 권장 값인 true로 설정되지 않은 경우 중요한 정보가 Android 또는 iOS 클립보드에 공개되어 디바이스의 다른 애플리케이션에 노출될 수 있습니다.
|
| 계정 복구 사용 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 계정 복구 사용
- 이전의 간단한 설명: 계정 복구 사용(플러그인 적용 가능성: 복수 제공자 SSO(Single Sign-On))
|
| SQL 오류 메시지 사용 안 함 [Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 설명: glide.db.loguser 권장 값인 false로 설정되지 않은 경우 최종 사용자에게 중요한 서버 측 오류 메시지가 표시될 수 있습니다. 오류 메시지에는 스택 추적 및 데이터베이스 구조에 대한 정보가 포함될 수 있으며, 이러한 정보는 전제 조건이 있는 경우 공격자에게 성공적인 SQL 주입을 수행하는 데 필요한 지식을 제공할 수 있습니다. 심층 방어로서 이러한 오류 메시지는 최종 사용자에게 표시되지 않아야 합니다.
- 이전 설명: glide.db.loguser 권장 값인 false로 설정하지 않으면 최종 사용자에게 중요한 서버 측 오류 메시지가 표시될 수 있습니다.
|
| 상대 링크 적용[Security Center 1.3 및 1.5에서 업데이트됨] |
- 새 설명: 이 glide.cms.catalog_uri_relative 속성은 /ess/catalog.do의 URI 매개변수에서 상대 링크를 적용합니다. glide.cms.catalog_uri_relative 권장 값인 true로 설정되지 않은 경우 URL은 enforceRelativeURL(url) 함수로 삭제되지 않습니다. 절대 URL은 매개변수 또는 필드 값의 일부로 사용될 때 보안 위험을 초래할 수 있으므로 소스 페이지를 상대방이 통제하는 웹 사이트로 리디렉션합니다. 이 속성은 서비스 포털로 대체된 레거시 CMS(콘텐츠 관리 시스템)에 영향을 미칩니다.
- 이전 설명: 이 glide.cms.catalog_uri_relative 속성은 /ess/catalog.do의 URI 매개변수에서 상대 링크를 적용합니다. glide.cms.catalog_uri_relative 권장 값인 true로 설정되지 않은 경우 URL은 enforceRelativeURL(url) 함수로 삭제되지 않습니다. 절대 URL은 매개변수 또는 필드 값의 일부로 사용될 때 보안 위험을 초래할 수 있으므로 소스 페이지를 상대방이 통제하는 웹 사이트로 리디렉션합니다.
|
| GlideXMLUtil 스크립트에 대한 엔터티 확장 임계치 최소화[Security Center 1.3, 1.5 및 2.0에서 업데이트됨] |
- 새로운 간단한 설명: GlideXMLUtil 스크립트에 대한 엔터티 확장 임계치 최소화
- 이전의 간단한 설명: 엔터티 확장 임계치 최소화
- 새로운 설명: 이 속성은 XML 파서 내에서 엔터티 확장의 최대 양을 제어합니다. glide.xmlutil.max_entity_expansion 권장 값인 3,000 이하로 설정하지 않으면 GlideXMLUtil 구문 분석 스크립트가 서비스 거부 공격에 취약할 수 있습니다.
- 이전 설명: 이 속성은 XML 파서 내에서 엔터티 확장의 최대 양을 제어합니다. glide.xmlutil.max_entity_expansion 권장 값인 3000 이하로 설정하지 않으면 XML 파서가 서비스 거부 공격에 취약할 수 있습니다.
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| GlideRecord 범위 펜싱 레거시 동작 사용 안 함[Security Center 1.3의 새로운 기능 및 1.5 및 2.0에서 업데이트됨] |
- 새 설명: GlideRecord는 해당 액세스 수준으로 구성되지 않은 테이블에 대한 교차 범위 생성/업데이트 액세스 권한을 제공했습니다. 이 범위가 지정된 액세스 동작에 패치가 적용되었을 때 고객이 응용 프로그램이 중단되는 것을 방지하기 위해 속성이 glide.record.legacy_cross_scope_access_policy_in_script 작성되었습니다. 예일 때는 교차 범위 액세스가 레거시 동작(안전하지 않음)으로 대체됩니다. 이 속성은 범위 펜싱을 비활성화하여 범위가 지정된 앱이 전역 스크립트 인터페이스에 액세스할 수 있도록 허용합니다. 범위 펜싱 제한을 시행하는 것이 가장 좋습니다. 범위 지정은 애플리케이션이 최소 권한 원칙에 따라 명시적 액세스 권한이 있거나 범위 내에 있는 자원에만 액세스할 수 있도록 합니다. 이 기능을 비활성화하면 기밀성, 가용성 및 무결성에 영향을 미칠 수 있습니다.
- 이전 설명: 레거시 동작으로 인해 허용되지 않는 테이블에 대한 작성/업데이트 접근 권한이 제공되었습니다. 이 범위가 지정된 액세스 동작에 패치가 적용되었을 때 레거시 고객의 애플리케이션이 중단되는 것을 방지하기 위해 속성이 glide.record.legacy_cross_scope_access_policy_in_script 작성되었습니다. 예일 때는 교차 범위 액세스가 레거시 동작(안전하지 않음)으로 대체됩니다. 이 속성은 범위 펜싱을 비활성화하여 범위가 지정된 앱이 전역 스크립트 인터페이스에 액세스할 수 있도록 허용합니다. 범위 펜싱 제한을 시행하는 것이 가장 좋습니다. 범위 지정은 애플리케이션이 최소 권한 원칙에 따라 명시적 액세스 권한이 있거나 범위 내에 있는 자원에만 액세스할 수 있도록 합니다. 이 기능을 비활성화하면 기밀성, 가용성 및 무결성에 영향을 미칠 수 있습니다.
|
| 업데이트된 버전의 MultiSSO 플러그인 사용[보안 센터 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 복수 SSO 플러그인의 업데이트된 버전 사용
- 이전 간단한 설명: 복수 SSO 플러그인의 업데이트된 버전 사용(플러그인 적용 가능성: 복수 제공자 SSO(Single Sign-On))
|
| LDAP 인증에서 SSL 사용[Security Center 1.5 및 2.0에서 업데이트됨] |
탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| API 요청에 암호 재설정 강제 적용[Security Center 1.5에서 업데이트됨] |
탐지 정확도를 개선하기 위해 스크립트가 업데이트되었습니다. |
| 로그인 시 암호 정책 적용 안 함[Security Center 1.5에서 업데이트되고 2.0에서 제거됨] |
-
새로운 설명: 속성을 glide.apply.password_policy.on_login False로 설정하면 로그인 시 암호 복잡도가 적용되지 않습니다. 속성을 True로 설정하면 암호 복잡성이 적용되고 조직 정책 준수 문제가 발생합니다.
ASVS 4.03 v2.1.9 권장 사항에 따라:
허용되는 문자 유형을 제한하는 암호 작성 규칙이 없는지 확인합니다. 대문자나 소문자 또는 숫자 또는 특수 문자는 필요하지 않습니다. (C6)
암호 복잡성을 적용하는 대신 ASVS 권장 사항은 암호 길이에 대해 최소 12자의 길이를 적용하는 것입니다.
참조: OWASP ASVS v4.0 인증
- 이전 설명:
속성을 glide.apply.password_policy.on_login False로 설정하면 로그인 시 암호 복잡도가 적용되지 않습니다. 속성을 예로 설정하면 암호 복잡성이 적용되고 조직 정책 준수 문제가 발생합니다. ASVS 4.03 v2.1.9 권장 사항에 따라: 허용되는 문자 유형을 제한하는 암호 작성 규칙이 없는지 확인합니다. 대문자나 소문자 또는 숫자 또는 특수 문자는 필요하지 않습니다. (다6) 암호 복잡성을 적용하는 대신 ASVS 권장 사항은 암호 길이에 대해 최소 12자의 길이를 적용하는 것입니다. 참조: OWASP ASVS v4.0 인증
|
| 활성 SAML 구성에 데모 인증서 사용 금지 [Security Center 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 활성 SAML 구성에 데모 인증 사용 금지
- 이전의 간단한 설명: 활성 SAML 구성에 데모 인증 사용 금지(플러그인 적용 가능성: 다중 제공자 SSO)
|
| SAML notBefore 또는 notOnOrAfter 제약 조건 기간 최소화[Security Center 1.3 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: SAML "notBefore" 또는 "notOnOrAfter" 제약 조건 기간 최소화
- 이전의 간단한 설명: SAML "notBefore" 또는 "notOnOrAfter" 제약 조건 기간 최소화(플러그인 적용 가능성: 다중 제공자 SSO)
|
| 만료된 안티-CSRF 토큰 차단 [Security Center 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 만료된 안티-CSRF 토큰 차단
- 이전 간단한 설명: 만료된 CSRF 토큰 차단
|
| 고객 서비스 애플리케이션에서 게스트 워크업 경험에 대해 captcha 필요[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 고객 서비스 애플리케이션에서 게스트 워크업 경험에 대해 Captcha 필요
- 이전의 간단한 설명: 고객 서비스 애플리케이션에서 게스트 워크업 경험에 대해 Captcha 필요(플러그인 적용 가능성: 고객 서비스용 게스트 워크업 경험)
|
| HR 앱에서 ACL 평가에 대한 가장 확인[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: HR 앱에서 ACL 평가에 대한 가장 확인
- 이전 간단한 설명: HR 앱에서 ACL 평가에 대한 가장 확인(플러그인 적용 가능성: Human Resources Scoped App)
|
| 개인 이메일에서 HR 케이스 업데이트 제한 [Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 개인 이메일에서 HR 케이스 업데이트 제한
- 이전 간단한 설명: 개인 이메일에서 HR 케이스 업데이트 제한(플러그인 적용 가능성: Human Resources Scoped App)
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| MID 감사 로그 사용[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: MID 감사 로그 사용
- 이전의 간단한 설명: MID 감사 로그 사용(플러그인 적용 가능성: MID 서버)
|
| 자격 증명 별칭 사용 적용[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 자격 증명 별칭 사용 강제 적용
- 이전의 간단한 설명: 자격 증명 별칭 사용 적용(플러그인 적용 가능성: MID 서버)
|
| 필요한 jms 연결 팩토리 [Security Center 1.3의 새로운 기능 및 1.5 및 2.0에서 업데이트됨] |
- 새로운 간단한 설명: JMS 연결 팩토리 필요
- 이전 간단한 설명: 필수 JMS 연결 팩토리(플러그인 적용 가능성: MID 서버)
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| 학습 및 예측 흐름에서 첨부 파일 크기 제한 [Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: 교육 및 예측 플로우에서 첨부 파일 크기 제한
- 이전의 간단한 설명: 교육 및 예측 플로우에서 첨부 파일 크기 제한(플러그인 적용 가능성: 플랫폼 문서 인텔리전스)
|
| 보관 테이블 ACL이 선택되어 있는지 확인 [Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다. |
| 세션 감사 이벤트 기록[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 설명: Glide 속성이 glide.authenticate.session_access.log_audit_event 예로 설정되면 sys_session_access_audit 테이블에 세션 감사 이벤트가 생성됩니다. 악의적인 액터 조사를 지원하기 위해 세션에 액세스한 사람에 대한 정보를 기록하는 것이 베스트 프랙티스입니다. 로그되는 정보에는 사용자, 세션 ID(중요하지 않음), IP 주소, 역할 및 정책이 포함됩니다.
- 이전 설명: Glide 속성이 glide.authenticate.session_access.log_audit_event 예로 설정되면 sys_session_access_audit 테이블에 세션 감사 이벤트가 생성됩니다. 악의적인 액터 조사를 지원하기 위해 세션 액세스에 대한 일반 정보를 기록하는 것이 가장 좋습니다. 로그되는 정보에는 사용자, 세션 ID(중요하지 않음), IP 주소, 역할 및 정책이 포함됩니다.
|
| 정보 요청 플레이북에 대한 범위 지정 ACL 액세스 강제 적용 [Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: Information Request 플레이북에 대한 범위 지정 ACL 접근 강제 적용
- 이전의 간단한 설명: Information Request 플레이북에 대한 범위 지정 ACL 접근 강제 적용
- 규칙 스크립트: 탐지 정확도를 향상하기 위해 스크립트가 업데이트되었습니다.
|
| 비활성 세션을 사전 예방적으로 무효화 [Security Center 1.3의 새로운 기능 및 1.5 및 2.0에서 업데이트됨] |
- 새로운 설명: Glide 속성은 glide.active.session.timeout.invalidate.session Tomcat 컨테이너가 세션을 무효화하기 전에 시간 초과된 세션을 사전에 무효화할지 여부를 제어합니다. 이 속성이 true로 설정되지 않으면 시간 초과된 세션이 무효화되지 않는 짧은 시간 간격이 있을 수 있습니다(큐 크기에 따라 60+초). 세션이 하이재킹되면 공격자는 이 짧은 시간 동안 세션을 사용할 수 있습니다.
- 이전 설명: Glide 속성은 glide.active.session.timeout.invalidate.session Tomcat 컨테이너 전에 시간 제한 세션이 사전에 무효화되는지 여부를 제어합니다. 이 속성이 true로 설정되지 않으면 시간 초과된 세션이 무효화되지 않는 짧은 시간 간격이 있을 수 있습니다(큐 크기에 따라 60+초). 세션이 하이재킹되면 공격자는 이 짧은 시간 동안 세션을 사용할 수 있습니다.
|
| HTTP 응답 본문 크기 제한[Security Center 1.3의 새로운 기능 및 1.5에서 업데이트됨] |
- 새로운 간단한 설명: HTTP 응답 본문 크기 제한
- 오래된 간단한 설명: HTTP 응답이 응답 본문 크기로 인해 OutofMemory 예외를 트리거하지 않는지 확인
|