| Exigir autorização para solicitações SOAP [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
- Novo nome da configuração técnica: glide.basicauth.required.soap, glide.soap.require_ws_security
- Nome antigo da configuração técnica: glide.basicauth.required.soap
- Nova descrição: A propriedade glide glide.basicauth.required.soapControla se a autenticação básica é necessária para fazer uma solicitação SOAP para uma instância. Se glide.basicauth.required.soapNão estiver definido com o valor recomendado de verdadeiro, os usuários não autenticados que executam operações SOAP serão mapeados para o usuário soap.guest. Isso pode permitir que um usuário não autenticado execute operações na instância como se fosse um usuário conectado à instância. Pode haver impacto adicional se o usuário definir em com.glide.soap.guest_usersão atribuídas funções adicionais.
- Descrição antiga: A propriedade glide glide.basicauth.required.soapControla se a autenticação é necessária para fazer uma solicitação SOAP para uma instância. Se glide.basicauth.required.soapNão está definido com o valor recomendado de verdadeiro, então a autenticação será desabilitada para solicitações SOAP na instância. Ele permite acesso não autenticado a operações de administrador ou de nível de manutenção, negando, assim, os controles de segurança na instância.
- Nova correção: Garanta a propriedade glide.basicauth.required.soapé definido com o valor verdadeiro. Como alternativa, configure a instância para WS Security definindo a propriedade glide.soap.require_ws_securityPara Verdadeiro e seguindo a documentação do produto para configurar Perfis de segurança WS.
- Correção antiga: Garanta a propriedade glide.basicauth.required.soapexiste na tabela sys_properties e está definido como verdadeiro.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
| Escapar script Jelly [Atualizado na Central de segurança 1,3 e 1,5] |
- Nova descrição: Esta propriedade escapa todas as cadeias de caracteres JS e HTML incluídas em antes de serem gravadas no fluxo de saída, evitando a ocorrência de vários problemas de XSS. Se glide.ui.escape_all_scriptNão está definido com o valor recomendado de verdadeiro, então o escape de scripts injetados no Jelly está desabilitado. Sem essa mitigação, a plataforma se torna amplamente aberta a uma variedade de ataques de injeção de script. Um invasor pode executar scripts Rhino arbitrários na instância.
- Descrição antiga: A propriedade a seguir escapa de todas as cadeias de caracteres JS e HTML incluídas no <j:jelly> ... </j:jelly> antes de serem gravadas no fluxo de saída, evitando que ocorram vários problemas de XSS. Se glide.ui.escape_all_scriptNão está definido com o valor recomendado de "verdadeiro", então o escape de scripts injetados no Jelly está desabilitado. Sem essa mitigação, a plataforma se torna amplamente aberta a uma variedade de ataques de injeção de script. Um invasor pode executar scripts Rhino arbitrários na instância.
|
| Impedir que os usuários aceitem o aviso para ignorar a validação CSRF [Atualizado na Central de segurança 1,3 e 1,5] |
- Nova descrição resumida: Impedir que os usuários aceitem o aviso para ignorar a validação CSRF
- Descrição resumida antiga: Impor validação estrita de token CSRF
- Nova descrição: Esta propriedade impede que os usuários aceitem um aviso que permite que uma solicitação potencialmente mal-intencionada seja enviada para a instância. Este aviso aparece quando uma solicitação POST falha devido a ter um token anti-CSRF incompatível que pertence a uma das outras sessões ativas da vítima. Se glide.security.csrf.strict.validation.modeNão está definido com o valor recomendado de verdadeiro, então um invasor pode formular um ataque CSRF usando um token anti-CSRF vazado de uma sessão ativa diferente pertencente à vítima.Uma solicitação POST para uma instância contém um token anti-CSRF em sysparm_ck ou X-UserToken que corresponde à sessão atual do usuário. Em vez disso, se o token anti-CSRF estiver vinculado a uma das outras sessões ativas do usuário, a solicitação POST retornará um redirecionamento 302 para security_intercetor.do com um botão Continuar disponível para o usuário quando esta propriedade estiver definida como falsa. Clicar neste botão enviará novamente a solicitação para a instância, exceto que agora terá um token anti-CSRF válido. Quando esta propriedade é definida como verdadeira, o redirecionamento 302 para a página security_intercetor.do não exibirá um botão Continuar e o usuário não terá permissão para reenviar a solicitação.Um ataque CSRF bem-sucedido permitirá que um invasor execute com eficácia qualquer operação que a vítima possa executar.
- Descrição antiga: Esta propriedade habilita a validação estrita de token CSRF, o que impede a reutilização de tokens CSRF. Se glide.security.csrf.strict.validation.modeNão está definido com o valor recomendado de verdadeiro, então os tokens CSRF podem ser reutilizados, o que abre uma porta para ataques CSRF.
- Nova pontuação do CVSS: 3,7
- Pontuação CVSS antiga: 3,1
|
|
- Nova descrição resumida: Exigir autenticação no processador HTTP de Gestão de eventos
- Descrição resumida antiga: Exigir autenticação no processador HTTP de Gestão de eventos
|
| Habilitar token anti-CSRF [Novo na Central de segurança 1,3, atualizado em 1,5 e removido em 2,0] |
- A falsificação de solicitação entre sites (CSRF) é um ataque que força os usuários autenticados a enviar uma solicitação para uma aplicação da Web contra a qual eles estão autenticados no momento. Os ataques CSRF exploram a confiança que uma aplicação Web tem em um usuário autenticado. Esta propriedade permite o uso de um token seguro para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites. Se glide.security.use_csrf_tokenNão está definido com o valor recomendado de verdadeiro, então CSRF é possível.
- Cross-Site Request Forgery (CSRF) é um ataque que força os usuários autenticados a enviar uma solicitação para uma aplicação da Web contra a qual eles estão autenticados no momento. Os ataques CSRF exploram a confiança que uma aplicação Web tem em um usuário autenticado. Esta propriedade permite o uso de um token seguro para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites. Se glide.security.use_csrf_tokenNão está definido com o valor recomendado de verdadeiro, então CSRF é possível.
|
| Habilitar limpeza de HTML no Virtual Agent [Atualizado na Central de segurança 1,3 e 1,5] |
- Nova descrição resumida: Como habilitar a limpeza de HTML no Virtual Agent
- Descrição resumida antiga: Como habilitar a limpeza de HTML
- Nova descrição: Esta propriedade controla se o HtmlSanitizerService está habilitado. Se com.glide.cs.html.sanitizer.enabledNão está definido como verdadeiro, então um ataque de script entre sites (XSS) armazenado é possível no cliente web do VA.
- Descrição antiga: Esta propriedade controla se o HTMLSanitezerService está habilitado. Se com.glide.cs.html.sanitizer.enabledNão está definido como verdadeiro, então um ataque de script entre sites (XSS) armazenado é possível no cliente web do VA.
|
| Negar acesso interno a funções externas explícitas [Atualizado na Central de segurança 1,3 e 1,5] |
|
| Exigir autorização para solicitação WSDL [Atualizado na Central de segurança 1,3 e 1,5] |
- Nova descrição: Se glide.basicauth.required.wsdlNão está definido com o valor recomendado de verdadeiro, isso desabilitará a Autenticação básica para solicitações WSDL. WSDL é um protocolo usado para descrever serviços da Web, como esquemas de tabela de instância, e não é um mecanismo para compartilhar os dados em tabelas. Definir esta propriedade como verdadeira permite a divulgação de esquemas de tabela para usuários não autenticados.
- Descrição antiga: Se glide.basicauth.required.wsdlNão está definido com o valor recomendado de verdadeiro, isso desabilitará a Autenticação básica para solicitações WSDL. Isso pode levar à divulgação de informações para usuários não autenticados.
- Nova pontuação do CVSS: 5,3
- Pontuação CVSS antiga: 4,3
|
| Impor verificação de lista de permissões de URL [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
| Definir tipos MIME restritos para download [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
- Nova descrição resumida: Como definir tipos MIME restritos para download
- Descrição resumida antiga: Como restringir tipos MIME para download
- Nova descrição: Se glide.ui.attachment.download_mime_typesInclui itens perigosos, como text/html,image/svg,image/svg,image/svg,application/xml, então arquivos perigosos podem ser renderizados em linha no navegador, o que pode levar a ataques de Cross Sitte Scripting (XSS). Esta propriedade é a lista de tipos mime de anexo separados por vírgulas que não serão renderizados em linha no navegador. Por exemplo, a inclusão de texto/html forçará o download de arquivos HTML para o cliente como anexos em vez de exibidos em linha no navegador. Manter essa lista corretamente impedirá ataques de script entre sites.
- Descrição antiga: Se glide.ui.attachment.download_mime_typesInclui itens perigosos, como text/html,image/svg,image/svg,image/svg,application/xml, então arquivos perigosos podem ser renderizados em linha no navegador, o que pode levar a ataques de Cross Sitte Scripting (XSS). Esta propriedade é a lista de tipos mime de anexo separados por vírgulas que não serão renderizados em linha no navegador. Por exemplo, a inclusão de texto/html forçará o download de arquivos html para o cliente como anexos em vez de exibidos em linha no navegador. Manter essa lista corretamente impedirá ataques de script entre sites.
|
|
- Nova descrição: Esta propriedade ajuda a limpar a exibição de lista de campos HTML. Se glide.ui.escape_html_list_fieldNão está definido com o valor recomendado de verdadeiro, então um usuário mal-intencionado pode injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário. Potencialmente, isso pode ser aproveitado por invasores para roubar informações de sessão e dados confidenciais.
- Descrição antiga: A propriedade a seguir ajuda a limpar a exibição de lista de campos HTML. Se glide.ui.escape_html_list_fieldNão está definido com o valor recomendado de verdadeiro, então um usuário mal-intencionado pode injetar código HTML no campo de formulário para executar scripts indesejados em diferentes sessões de cliente/usuário. Potencialmente, isso pode ser aproveitado por invasores para roubar informações de sessão e dados confidenciais.
|
|
- Nova descrição resumida: Restringir domínios de e-mail para registro de usuário externo
- Descrição resumida antiga: Restringir domínios de e-mail para registro de usuário externo (aplicabilidade do plug-in: Registro de usuário externo)
- Nova descrição: O. sn_ext_usr_reg.allowed_email_domainsA propriedade define quais endereços de e-mail têm permissão para se registrar automaticamente em uma instância da ServiceNow. Se sn_ext_usr_reg.allowed_email_domainsnão está definido com uma lista de domínios aceitáveis, os usuários com qualquer endereço de e-mail podem registrar contas nas instâncias. Se não definido, agentes mal-intencionados podem realizar o registro usando endereços de e-mail de domínios indesejados para obter acesso autenticado à instância.
- Descrição antiga: Se sn_ext_usr_reg.allowed_email_domainsnão está definido com uma lista de permissões de domínios aceitáveis, agentes mal-intencionados podem realizar o registro usando endereços de e-mail de domínios indesejados.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição resumida: Habilitar Captcha para registro de usuário externo
- Descrição resumida antiga: Habilitar Captcha para registro de usuário externo (aplicabilidade do plug-in: Registro de usuário externo)
- Script de regra: O script foi atualizado para melhorar a precisão da detecção
|
|
- Nova descrição resumida: Como minimizar a duração de expiração do link de registro de usuário externo
- Descrição resumida antiga: Como minimizar a duração de expiração do link de registro de usuário externo (aplicabilidade do plug-in: registro de usuário externo)
- Script de regra: O script foi atualizado para melhorar a precisão da detecção
|
| Download de arquivo infectado [Atualizado na Central de segurança 1,5 e 2,0] |
- Nova descrição resumida: Como proibir o download de arquivo infectado
- Descrição resumida antiga: Como proibir o download de arquivos infectados
- Nova correção: Garanta a propriedade com.glide.snap.infected_download_allowedDefinido como Falso.
- Correção antiga: Garanta a propriedade com.glide.snap.infected_download_allowedDefinido como verdadeiro.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição: Se glide.attachment.enforce_security_validationnão está definido com o valor recomendado de verdadeiro, então não haverá validação para o tipo mime de anexo e arquivos perigosos podem ser carregados no sistema usando extensões de arquivo incorretas. Quando esta propriedade é definida como verdadeira, os arquivos são carregados com a extensão de tipo de arquivo correta. Validar carregamentos de arquivos pelo menos com validação de tipo MIME é uma prática recomendada de segurança.
- Descrição antiga: Se glide.attachment.enforce_security_validationNão está definido com o valor recomendado de verdadeiro, então não haverá validação para o tipo mime de anexo e arquivos perigosos podem ser carregados no sistema usando extensões de arquivo incorretas. Quando esta propriedade é definida como verdadeira, os arquivos são carregados com a extensão de tipo de arquivo correta. Validar carregamentos de arquivos pelo menos com validação de tipo MIME é uma prática recomendada de segurança.
- Nova correção: Garanta a propriedade glide.attachment.enforce_security_validationdefinido como verdadeiro.
- Correção antiga: Garanta a propriedade glide.attachment.enforce_security_validationDefinido como verdadeiro.
|
|
- Nova descrição resumida: Como desabilitar depuração do Multi-SSO
- Descrição resumida antiga: Como desabilitar depuração Multi-SSO (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
|
- Novo nome da configuração técnica: glide.ip.authenticate.strict
- Nome antigo da configuração técnica: glide.ip.authenticate.strict,glide.ip.authenticate.allow.secured
- Nova descrição: Se glide.ip.authenticate.strictSe estiver definido como verdadeiro, a ServiceNow personelle interna e os sistemas só poderão fazer conexões de entrada para a instância a partir de intervalos de IP essenciais. Isso limita a visibilidade da ServiceNow na instância para a infraestrutura interna essencial e impede o acesso por personelle mais amplo da ServiceNow, como equipe de suporte e vendas por meio de redes corporativas. Quando definido como "verdadeiro", o glide.ip.authenticate.allowA propriedade é usada para conceder conexões de entrada internas da ServiceNow. Se não estiver definido como verdadeiro, um intervalo de IPs interno da ServiceNow mais amplo, conforme definido em glide.ip.authenticate.allowÉ usado para conceder conexões de entrada internas da ServiceNow.
- Descrição antiga: Se glide.ip.authenticate.strictDefinido como verdadeiro e somente os intervalos de IP especificados em glide.ip.authenticate.allow.securedpode fazer conexões de entrada com a instância. Esta propriedade contém uma lista somente dos intervalos de IP internos essenciais da ServiceNow (Secure VPN, DC). Se glide.ip.authenticate.allow.securednão está definido com o valor recomendado ou permutação de "10,0.0,0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/17, 127,0.0,1" ou a lista de valores mais recente "10,0.21/8, 37.98.232.0/0,0, 103.23.64.0/22, 149.96.0.0/16, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127,0.0,1, 0:0:0:0:0:0:0:1, ::1" que adiciona host local IPv6 a Utah, então pode permitir que fontes não confiáveis fora do datacenter SN e VPN segura acessem endpoints de monitoramento confidenciais em instâncias.
- Nova correção: Garanta a propriedade glide.ip.authenticate.allow.securedcontém somente valores confiáveis e que a propriedade glide.ip.authenticate.strictdefinido como verdadeiro.
- Correção antiga: Garanta a propriedade glide.ip.authenticate.allow.securedcontém somente valores em "10,0.0,0/8, 37.98.232.0/21, 103.23.64.0/22, 149.96.0.0/17, 149.96.0.0/16, 199.91.136.0/21, 148.139.0.0/16, 127,0.0, 0:0:0,1:0:0:0:0:1, ::1" e que a propriedade glide.ip.authenticate.strictdefinido como verdadeiro.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
| Como desativar a expansão de entidade no Analisador de fluxo de XMLDocument2 [Atualizado na Central de segurança 1.5] |
- Nova descrição resumida: Desabilitar expansão de entidade no analisador de fluxo XMLDocument2
- Descrição resumida antiga: Desabilitar expansão de entidade
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição resumida: Como aplicar separação de domínio em campos de referência com pontos
- Descrição resumida antiga: Como aplicar separação de domínios em campos de referência com pontos (aplicabilidade do plug-in: separação de domínios)
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
| Restringir permissões para o modelo do CMDB [Atualizado na Central de segurança 1,3 e 1,5] |
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
|
- Nova descrição: O. glide.sg.clear_pasteboard_when_backgroundedA propriedade controla se o texto copiado do aplicativo para celular da ServiceNow é mantido na área de transferência e na área de transferência depois que o aplicativo está no modo de segundo plano. Se não estiver definido com o valor recomendado de verdadeiro, as informações confidenciais poderão ser divulgadas para a área de transferência do Android ou iOS, onde poderão ser expostas a outros aplicativos no dispositivo.
- Descrição antiga: A propriedade glide.sg.clear_pasteboard_when_backgroundedControla se o texto copiado do aplicativo para celular da ServiceNow é mantido na área de transferência/área de transferência depois que o aplicativo não está mais em foco. Se não estiver definido com o valor recomendado de verdadeiro, as informações confidenciais poderão ser divulgadas para a área de transferência do Android ou iOS, onde poderão ser expostas a outros aplicativos no dispositivo.
|
| Como habilitar a recuperação de conta [Atualizado na Central de segurança 1.3 e 1.5] |
- Nova descrição resumida: Como habilitar recuperação de conta
- Descrição resumida antiga: Como habilitar recuperação de conta (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Desabilitar mensagens de erro SQL [Atualizado na Central de segurança 1,3 e 1,5] |
- Nova descrição: Se glide.db.logusernão está definido com o valor recomendado de falso, então mensagens de erro confidenciais do lado do servidor podem ser exibidas para os usuários finais. As mensagens de erro podem incluir rastreamentos de pilha e informações sobre a estrutura do banco de dados que podem fornecer ao invasor o conhecimento necessário para executar uma injeção SQL bem-sucedida, caso as pré-condições existam. Essas mensagens de erro não devem ser exibidas para o usuário final como defesa em profundidade.
- Descrição antiga: Se glide.db.logusernão está definido com o valor recomendado de falso, então mensagens de erro confidenciais do lado do servidor podem ser exibidas para os usuários finais.
|
| Impor links relativos [Atualizado na Central de segurança 1,3 e 1,5] |
- Nova descrição: O. glide.cms.catalog_uri_relativeA propriedade impõe links relativos do parâmetro URI em /ess/catalog.do. Se glide.cms.catalog_uri_relativeNão está definido com o valor recomendado de verdadeiro, então o URL não será limpo com a função enforceRelativeURL(url). URLs absolutas podem representar um risco à segurança quando usadas como parte de parâmetro ou valor de campo, redirecionando a página de origem para um site controlado por adversário. Esta propriedade afeta o CMS (Content Management System, sistema de gestão de conteúdo) legado que foi substituído pelo Portal de serviços.
- Descrição antiga: O. glide.cms.catalog_uri_relativeA propriedade impõe links relativos do parâmetro URI em /ess/catalog.do. Se glide.cms.catalog_uri_relativeNão está definido com o valor recomendado de verdadeiro, então o URL não será limpo com a função enforceRelativeURL(url). URLs absolutas podem representar um risco à segurança quando usadas como parte de parâmetro ou valor de campo, redirecionando a página de origem para um site controlado por adversário.
|
| Minimizar limite de expansão de entidade para GlideXMLUtil programável [Atualizado na Central de segurança 1,3, 1,5 e 2,0] |
- Nova descrição resumida: Como minimizar o limite de expansão da entidade para GlideXMLUtil com script
- Descrição resumida antiga: Como minimizar o limite de expansão da entidade
- Nova descrição: Esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se glide.xmlutil.max_entity_expansionNão está definido com o valor recomendado de 3000 ou menos, então a análise GlideXMLUtil programável pode estar vulnerável a ataques de negação de serviço.
- Descrição antiga: Esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se glide.xmlutil.max_entity_expansionNão está definido com o valor recomendado de 3000 ou menos, então o analisador XML pode estar vulnerável a ataques de negação de serviço.
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição: O GlideRecord forneceu acesso de criação/atualização entre escopos a tabelas que não foram configuradas com esse nível de acesso. Para impedir que os clientes tenham aplicações interrompidas quando este comportamento de acesso com escopo foi corrigido, a propriedade glide.record.legacy_cross_scope_access_policy_in_scriptcriado. Quando verdadeiro, o acesso entre escopos retorna para o comportamento legado (inseguro). Esta propriedade desabilita a limitação de escopo, permitindo que as aplicações com escopo acessem interfaces de script global. É uma prática de segurança recomendada ter restrições de delimitação de escopo em vigor. O escopo garante que as aplicações só possam acessar recursos com acesso explícito ou dentro de seu escopo, seguindo o princípio de privilégio mínimo. Desabilitar este recurso pode levar a impactos na confidencialidade, disponibilidade e integridade.
- Descrição antiga: O comportamento legado forneceu acesso de criação/atualização a tabelas que não permitiam isso. Para impedir que os clientes legados tenham aplicações interrompidas quando este comportamento de acesso com escopo foi corrigido, a propriedade glide.record.legacy_cross_scope_access_policy_in_scriptcriado. Quando verdadeiro, o acesso entre escopos retorna para o comportamento legado (inseguro). Esta propriedade desabilita a limitação de escopo, permitindo que as aplicações com escopo acessem interfaces de script global. É uma prática de segurança recomendada ter restrições de delimitação de escopo em vigor. O escopo garante que as aplicações só possam acessar recursos com acesso explícito ou dentro de seu escopo, seguindo o princípio de privilégio mínimo. Desabilitar este recurso pode levar a impactos na confidencialidade, disponibilidade e integridade.
|
|
- Nova descrição resumida: Como habilitar a versão atualizada do plug-in Multi-SSO
- Descrição resumida antiga: Como habilitar a versão atualizada do plug-in Multi-SSO (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Habilitar SSL na autenticação LDAP [Atualizado na Central de segurança 1,5 e 2,0] |
O script foi atualizado para melhorar a precisão da detecção. |
| Impor redefinição de senha em solicitações de api [Atualizado na Central de segurança 1,5] |
O script foi atualizado para melhorar a precisão da detecção. |
| Não aplicar política de senha no login [Atualizado na Central de segurança 1,5 e removido em 2,0] |
-
Nova descrição: Definindo a propriedade glide.apply.password_policy.on_loginPara Falso Não haverá imposição de complexidade de senha no momento do login. Definir a propriedade como verdadeira aplicará a complexidade da senha e levará a problemas de conformidade com a política da organização.
De acordo com as recomendações da ASVS 4,03 v2.1.9:
Verifique se não há regras de composição de senha limitando o tipo de caracteres permitidos. Não deve haver nenhum requisito para maiúsculas ou minúsculas, números ou caracteres especiais. (C6)
Em vez da imposição de complexidade de senha, as recomendações do ASVS são impor um comprimento mínimo de 12 caracteres para o tamanho da senha.
Referência: Autenticação OWASP ASVS V4.0
- Descrição antiga:
Definindo a propriedade glide.apply.password_policy.on_loginPara Falso Não haverá imposição de complexidade de senha no momento do login. Definir a propriedade como verdadeira aplicará a complexidade da senha e levará a problemas de conformidade com a política da organização. De acordo com as recomendações da ASVS 4,03 v2.1.9: Verifique se não há regras de composição de senha limitando o tipo de caracteres permitidos. Não deve haver nenhum requisito para maiúsculas ou minúsculas, números ou caracteres especiais. (C6) Em vez da imposição de complexidade de senha, as recomendações do ASVS são impor um comprimento mínimo de 12 caracteres para o tamanho da senha. Referência: Autenticação OWASP ASVS V4.0
|
|
- Nova descrição resumida: Não use certificados de demonstração para configurações SAML ativas
- Descrição resumida antiga: Não use certificados de demonstração para configurações SAML ativas (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
|
- Nova descrição resumida: Como minimizar a duração da restrição SAML "notBefore" ou "notOnOrAfter"
- Descrição resumida antiga: Como minimizar a duração da restrição SAML "notBefore" ou "notOnOrAfter" (aplicabilidade do plug-in: Single Sign-On de vários provedores)
|
| Bloqueio de tokens anti-CSRF expirados [Atualizado na Central de segurança 1.5] |
- Nova descrição resumida: Como bloquear tokens anti-CSRF expirados
- Descrição resumida antiga: Como bloquear tokens CSRF expirados
|
|
- Nova descrição resumida: Como exigir captcha para Walk-up Experience de convidado na aplicação de atendimento ao cliente
- Descrição resumida antiga: Como exigir captcha para Walk-up Experience de convidado na aplicação de atendimento ao cliente (aplicabilidade do plug-in: Walk-up Experience de convidado para atendimento ao cliente)
|
|
- Nova descrição resumida: Como verificar representação na avaliação da ACL no app de RH
- Descrição resumida antiga: Como verificar representação na avaliação da ACL no app de RH (aplicabilidade do plug-in: app com escopo de Recursos Humanos)
|
|
- Nova descrição resumida: Como restringir atualizações de caso de RH de e-mails pessoais
- Descrição resumida antiga: Como restringir atualizações de caso de RH de e-mails pessoais (aplicabilidade do plug-in: app com escopo de Recursos Humanos)
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição resumida: Como habilitar log de auditoria do MID
- Descrição resumida antiga: Como habilitar log de auditoria do MID (aplicabilidade do plug-in: MID Server)
|
|
- Nova descrição resumida: Como impor uso de alias de credencial
- Descrição resumida antiga: Como impor uso de alias de credencial (aplicabilidade do plug-in: MID Server)
|
|
- Nova descrição resumida: Fábricas de conexão JMS necessárias
- Descrição resumida antiga: Fábricas de conexão JMS necessárias (aplicabilidade do plug-in: MID Server)
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição resumida: Como limitar o tamanho do anexo em fluxos de treinamento e previsão
- Descrição resumida antiga: Como limitar o tamanho do anexo em fluxos de treinamento e previsão (aplicabilidade do plug-in: Inteligência para documentos da plataforma)
|
|
Script de regra: O script foi atualizado para melhorar a precisão da detecção. |
|
- Nova descrição: Quando a propriedade Glide glide.authenticate.session_access.log_audit_eventestiver definido como verdadeiro, eventos de auditoria de sessão serão criados na tabela sys_session_access_audit. É uma prática recomendada registrar informações sobre quem acessou uma sessão para ajudar nas investigações de agentes mal-intencionados. As informações registradas em log incluirão usuário, ID de sessão (não confidencial), endereço IP, funções e políticas.
- Descrição antiga: Quando a propriedade Glide glide.authenticate.session_access.log_audit_eventestiver definido como verdadeiro, eventos de auditoria de sessão serão criados na tabela sys_session_access_audit. É uma prática recomendada registrar informações gerais sobre o acesso à sessão para ajudar nas investigações de agentes mal-intencionados. As informações registradas em log incluirão usuário, ID de sessão (não confidencial), endereço IP, funções e políticas.
|
|
- Nova descrição resumida: Impor acesso à ACL com escopo para Playbooks de solicitação de informações
- Descrição resumida antiga: Impor acesso à ACL com escopo para Playbooks de solicitação de informações
- Script de regra: O script foi atualizado para melhorar a precisão da detecção.
|
|
- Nova descrição: A propriedade Glide glide.active.session.timeout.invalidate.sessionControla se uma sessão expirada é invalidada proativamente antes que o contêiner Tomcat invalide a sessão. Quando esta propriedade não está definida como verdadeira, pode haver um pequeno intervalo de tempo em que uma sessão expirada não é invalidada (mais de 60 segundos, dependendo do tamanho da fila). Se uma sessão for sequestrada, um invasor poderá utilizar uma sessão durante esse pequeno período de tempo.
- Descrição antiga: A propriedade Glide glide.active.session.timeout.invalidate.sessionControla se uma sessão de tempo limite é invalidada proativamente antes do contêiner Tomcat. Quando esta propriedade não está definida como verdadeira, pode haver um pequeno intervalo de tempo em que uma sessão expirada não é invalidada (mais de 60 segundos, dependendo do tamanho da fila). Se uma sessão for sequestrada, um invasor poderá utilizar uma sessão durante esse pequeno período de tempo.
|
|
- Nova descrição resumida: Como limitar o tamanho do corpo da resposta HTTP
- Descrição resumida antiga: Como garantir que as respostas HTTP não acionem uma exceção de falta de memória devido ao tamanho do corpo da resposta
|