https://manageengine.com.mx/adselfservice-plus/caracteristicas/seguridad-de-las-aplicaciones-y-su-importancia
 Precios  Cotización

Seguridad de las aplicaciones y su importancia>>

En el panorama empresarial digital actual, las aplicaciones web se han convertido en objetivos atractivos para los atacantes. >Según el  >>Informe de Investigaciones de Violación de Datos de Verizon 2018>> , el 25 por ciento de las violaciones de datos se dirigieron a aplicaciones web. >Todos los días, se implementan nuevos hacks y ataques para explotar las vulnerabilidades de seguridad en las aplicaciones web. >Con las nuevas vulnerabilidades expuestas a un ritmo que la mayoría de las organizaciones no pueden seguir, no es sorprendente que la seguridad de las aplicaciones se haya convertido en uno de los principales factores que afectan la percepción de la marca de una empresa.>>

Es por eso que el equipo de ADSelfService Plus se enfoca en reparar las vulnerabilidades identificadas y las lagunas de seguridad cuando se detectan en el producto. >La siguiente lista describe los problemas comunes de seguridad de las aplicaciones que se encontraron en ADSelfService Plus, desde el más nuevo al más antiguo, y cómo se aborda cada problema. >Recuerde que si configura algún archivo XML para solucionar un problema, asegúrese de reiniciar ADSelfService Plus para que los cambios surtan efecto.>>

Problemas y correcciones:>>

Seleccione>>

Integraciones de productos ManageEngine sin pasar por la autenticación>>

Severidad: alta>>

Esta vulnerabilidad permite a los atacantes integrarse con otros productos ManageEngine, sin pasar por la verificación de autenticación.>>

Solución:>> se han restringido las llamadas no autorizadas.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5817.>>

Vulnerabilidad de ejecución remota de código>>

Severidad: alta>>

Esta vulnerabilidad permite que un atacante remoto ponga en peligro los sistemas vulnerables. >Existe debido a la validación insuficiente de la entrada proporcionada por el usuario. >Un no atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y ejecutar un código arbitrario en el sistema de destino.>>

Solución:>> acceso deshabilitado al endpoint >>/ cewolf.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5815.>>

Vulnerabilidad de la clave de protocolo de enlace predecible>>

Severidad: media>>

Esta vulnerabilidad permite a un atacante remoto predecir la clave de protocolo de enlace y comprometer los sistemas vulnerables.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5815.>>

Omisión de autenticación en ADSelfService Plus>>

Severidad: alta>>

Esta vulnerabilidad permite que un atacante obtenga acceso al Explorador de archivos de una computadora a través del agente de inicio de sesión ADSelfService Plus mediante el uso de certificados SSL autofirmados.>>

Solución:>> la vulnerabilidad se ha resuelto habilitando la marca RESTRICT_BAD_CERT de forma predeterminada.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5814.>>

Vulnerabilidad XSS debido a la API de la aplicación móvil>>

Severidad: media>>

Esta vulnerabilidad permite a un atacante explotar las conexiones que los usuarios tienen con aplicaciones inseguras. >Un atacante puede hacerse pasar por un usuario, realizar cualquier acción que el usuario pueda realizar y acceder a sus datos.>>

Solución:>> el contenido malicioso reflejado se escapa (se omite o se elimina) para que no se analice como HTML.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5708.>>

Vulnerabilidad SSRF>>

Severidad: media>>

La falsificación de solicitudes del lado del servidor (también conocida como SSRF) es una vulnerabilidad que permite a un atacante inducir a una aplicación del lado del servidor a enviar solicitudes HTTP a un dominio arbitrario elegido por el atacante. >Esto puede resultar en el acceso a los datos dentro de la empresa, ya sea en la aplicación insegura en sí o en otros sistemas back-end con los que se comunica la aplicación.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5703.>>

Vulnerabilidad de inyección en agentes de inicio de sesión de Windows y Linux>>

Severidad: alta>>

Esta vulnerabilidad permite al atacante explotar el software cliente ADSelfService Plus y obtener privilegios de SISTEMA en una computadora con Windows o Linux al tener acceso físico a ella.>>

Reparar:>>

  • Todos los elementos que no son necesarios de Internet Explorer están bloqueados.>>
  • Todos los servicios se ejecutan como un usuario limitado local.>>
  • El contenido se aloja localmente y las API web se utilizan para transmitir datos.>>

Se ha publicado una actualización de seguridad para corregir esta vulnerabilidad.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5802.>>

Vulnerabilidad de entidad externa XML>>

Severidad: alta>>

La inyección de entidad externa XML (también conocida como XXE) es una vulnerabilidad de ciberseguridad que permite a un atacante intervenir en el procesamiento de datos XML de una aplicación. >También permite que un intruso vea archivos en el sistema de archivos del servidor de aplicaciones y se comunique con cualquier sistema externo o back-end accesible a la aplicación.>>

Solución: los>> archivos JAR vulnerables se han eliminado y actualizado con los archivos adecuados. >ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5701.>>

Falta la marca HttpOnly en las cookies>>

Severidad: baja>>

La ausencia de la marca HttpOnly en las cookies aumenta el riesgo de que un script del lado del cliente acceda a las cookies, lo que puede provocar un ataque de falsificación de solicitud entre sitios (CSRF).>>

Solución:>> ADSelfService Plus incluye la marca HttpOnly en las cookies. >Cuando un script del lado del cliente intenta leer la cookie, el navegador devuelve una cadena vacía como resultado. >ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5520, el 31 de mayo de 2018.>>

Explotación de los métodos HTTP no utilizados>>

Severidad: baja>>

Los métodos HTTP como GET, HEAD, TRACE, PUT, DELETE y OPTIONS están sujetos a ataques y representan amenazas de seguridad para las aplicaciones web. >Por ejemplo, TRACE se utiliza para hacer eco de una cadena enviada al servidor web de vuelta al cliente. >Aunque TRACE se diseñó inicialmente con fines de depuración, se puede utilizar para montar un ataque de seguimiento entre sitios (XST) contra servidores.>>

Solución:>> ADSelfService Plus bloquea los métodos HTTP no utilizados como GET, HEAD, DELETE TRACE y OPTIONS.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5517, el 17 de abril de 2018.>>

Vulnerabilidades en las versiones anteriores de jQuery>>

Severidad: alta>>

Las versiones anteriores de jQuery contienen vulnerabilidades de seguridad.>>

Solución:>> ADSelfService Plus ha actualizado el paquete jQuery de 1.8.1 a 1.12.2 en la compilación 5517, el 17 de abril de 2018.>>

Vulnerabilidad de carga de archivos sin restricciones>>

Severidad: alta>>

En este tipo de vulnerabilidad, un atacante carga una solicitud POST de datos de formulario o de varias partes con un nombre de archivo especialmente diseñado o tipo MIME, lo que conduce a secuencias de comandos entre sitios (XSS) y a la ejecución de código malicioso en el lado del servidor. >>

Solución:>> ADSelfService Plus utiliza un filtro de lista blanca durante la carga de archivos. >Solo acepta formatos PNG, HTML, CSV, PDF, XLS, XLXS y CSVDE.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5516, el 29 de marzo de 2018.>>

Vulnerabilidad de falsificación de solicitudes del lado del servidor>>

Severidad: alta>>

En un ataque de falsificación de solicitud del lado del servidor (SSRF), un atacante modifica una URL existente o proporciona una nueva URL para enviarla al servidor. >Cuando el servidor maneja esta solicitud de URL manipulada, el servidor lee o envía datos a la URL manipulada. >Por lo general, el atacante apunta al hash NTLM de cuentas específicas para acceder a los recursos vinculados a esa cuenta.>>

Solución:>> ADSelfService Plus ha actualizado el  > archivo >>dd-plist.jar>> ( >>ubicación predeterminada:>> directorio de instalación \ lib \ dd-plist.jar) en la compilación 5516, el 29 de marzo de 2018.>>

Vulnerabilidad XSS reflejada>>

Severidad: alta>>

La vulnerabilidad XSS reflejada está diseñada específicamente para atacar los sitios web que visita un usuario. >Cuando un usuario hace clic en un enlace malicioso en un sitio de confianza, se inyecta un script en la solicitud, que viaja al servidor y se refleja de tal manera que la respuesta HTTP incluye el script malicioso. >El navegador ejecuta la secuencia de comandos maliciosa porque esa secuencia de comandos proviene de un servidor "confiable".>>

Solución:>> ADSelfService Plus desinfecta el script de caracteres como >><>> ,  >>>>> , >>&>> , 'y "presentes en los parámetros de consulta.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5516, el 29 de marzo de 2018.>>

Pasando por alto las validaciones del lado del cliente>>

Severidad: alta>>

Al explotar esta vulnerabilidad, un atacante pasa por alto la validación de entrada del lado del cliente para el contenido objetivo, por ejemplo, campos de contraseña.>>

Los atacantes generalmente evitan las validaciones de entrada de una aplicación web, ya sea eliminando JavaScript con una herramienta de desarrollo web o manejando la solicitud HTTP (usando una herramienta de proxy) de una manera que no pasa por el navegador.>>

Solución:>> no se necesita una solución para esta vulnerabilidad. >ADSelfService Plus es inmune a esta vulnerabilidad, ya que practica la validación tanto del lado del cliente como del lado del servidor.>>

Fuga de información a través de comentarios>>

Severidad: baja>>

La fuga de información ocurre cuando una aplicación revela involuntariamente datos confidenciales, como los detalles técnicos de una red o aplicación, o datos específicos del usuario. >Dependiendo de los datos que se filtren, un atacante podría utilizarlos para explotar la aplicación web de destino, su red de alojamiento o los usuarios de la aplicación.>>

Solución:>> los programadores de ADSelfService Plus se han asegurado de eliminar la información confidencial que podría haber sido revelada a través de comentarios en el código fuente.>>

Toma de huellas digitales del servidor web>>

Severidad: baja>>

La explotación de las vulnerabilidades de seguridad de cualquier aplicación es más fácil cuando los atacantes conocen la plataforma en la que está construida la aplicación web. >Aunque los encabezados HTTP se utilizan principalmente para proporcionar información para el manejo eficaz de solicitudes y respuestas, los atacantes también pueden aprovecharlos para identificar el servidor web utilizado y su versión.>>

Solución:>> no se necesita ninguna solución para esta vulnerabilidad. >ADSelfService Plus es inmune a esta vulnerabilidad, ya que agrega una etiqueta de servidor en el archivo server.xml ( >>ubicación predeterminada>> : directorio de instalación / conf) para ocultar el servidor web real.>>

Muestra:>>

<Connector port = "8888" name = "WebServer" maxThreads = "150" minSpareThreads = "25" maxSpareThreads = "75" enableLookups = "false" redirectPort = "8443" acceptCount = "100" connectionTimeout = "20000" disableUploadTimeout = " verdadero "URIEncoding =" UTF-8 "servidor =" ADSSP "/>>>

Inicios de sesión simultáneos>>

Severidad: media>>

Una aplicación diseñada para aceptar inicios de sesión simultáneos puede llevar a que un usuario malintencionado ingrese credenciales válidas al mismo tiempo que un usuario legítimo para autenticarse en la red. >Esto podría generar problemas de seguridad dentro de la organización, como el uso indebido de la información personal del usuario para realizar acciones no autorizadas.>>

Solución: la>> función Denegar inicio de sesión concurrente de ADSelfService Plus evita que los usuarios ejecuten varias sesiones a la vez en el producto.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5517, en abril de 2018.>>

Vulnerabilidades de cross-site scripting (XSS)>>

Severidad: alta>>

Los ataques XSS involucran a un atacante que inyecta un script del lado del cliente en la aplicación de destino. >El navegador del usuario final no tiene forma de saber que el script no debe ser confiable y ejecutará el script malicioso.>>

Solución:>> elimine el # al principio de  >>X-XSS-Protection>> en el archivo security_params.xml ( >>ubicación predeterminada:>> directorio de instalación / conf) y configúrelo en  >>1>> . >La mayoría de los navegadores reconocen este encabezado y tomarán las medidas necesarias para evitar ataques XSS al ver este encabezado. >>

A continuación se muestra cómo se verá el encabezado después de la corrección:>>

 Protección X-XSS = 1>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 4500.>>

Vulnerabilidad de falsificación de solicitudes entre sitios (CSRF)>>

Severidad: alta>>

CSRF es un ataque que engaña a un navegador web para que ejecute un comando no deseado en una aplicación en la que un usuario está conectado. >Esto se logra cuando un usuario hace clic inadvertidamente en un enlace malicioso en un sitio web legítimo. >Esto envía una solicitud HTTP que el usuario no tenía la intención de generar, que incluye un encabezado de cookie que contiene el ID de sesión del usuario. >Además, debido a que la aplicación autentica al usuario en el momento del ataque, es imposible que la aplicación distinga entre solicitudes legítimas y falsificadas.>>

Solución:>> ADSelfService Plus envía cada solicitud con un token. >Esto evita la ejecución de acciones que no proporcionan los tokens de autenticación necesarios.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

Secuencias de comandos de fotograma cruzado (XSF) / Clickjacking>>

Severidad: alta>>

En las secuencias de comandos de fotograma cruzado, se engaña a un usuario para que haga clic en algo diferente de lo que pensaba que estaba haciendo, lo que hace que, sin darse cuenta, revele información confidencial o ejecute un comando no deseado. >Por lo general, las secuencias de comandos entre cuadros se logran cuando un atacante incrusta iFrames maliciosos en un sitio web legítimo para engañar a los usuarios para que ingresen su información. >Cuando un usuario ingresa sus credenciales en el sitio legítimo dentro del iFrame, el keylogger JavaScript malicioso registra las pulsaciones de teclas de la víctima y las envía al servidor del atacante.>>

Solución:>> elimine el # al principio de  >>x-frame-options>>  en el archivo security_params.xml ( >>ubicación predeterminada:>> directorio de instalación / conf) y >>configúrelo>> en  >SAMEORIGIN. >Esta solución no permite que otros sitios carguen ADSelfService Plus en sus iFrames.>>

A continuación se muestra cómo se verá la solicitud de encabezado después de la corrección:>>

x-frame-options = SAMEORIGIN>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

Política de caché débil o política de caché del servidor>>

Severidad: media>>

Una página del navegador almacena contenido en caché en la máquina de un usuario para que no tenga que descargar contenido cada vez que el usuario abre esa página. >Incluso en canales SSL seguros, los proxies y terminadores SSL pueden almacenar datos confidenciales. >Si un atacante explota la caché del navegador, los datos confidenciales, como los detalles de la tarjeta de crédito y los nombres de usuario, están en riesgo.>>

Solución:>> cada página HTTP en ADSelfService Plus está configurada con encabezados de respuesta Cache-Control, Pragma y Expires para evitar el almacenamiento en caché de cualquier dato. >Para habilitar esta solución, tendrá que eliminar el # al comienzo de  >>cache-control = no-cache, no-store>> en el archivo security_params.xml ( >>ubicación predeterminada:>> directorio de instalación / conf).>>

A continuación se muestra cómo se verá la solicitud de encabezado después de la corrección:>>

control de caché = sin caché, sin almacenamiento>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

MIME-SNIFFING>>

Severidad: baja>>

Cuando no hay suficientes metadatos para determinar el tipo de contenido de los datos, la mayoría de los navegadores, en particular Microsoft Internet Explorer, intentan determinar el tipo de contenido correcto con una técnica llamada rastreo MIME (también conocido como tipo de medio). >Sin embargo, los atacantes explotan esta técnica manipulando el navegador para interpretar los datos de una manera que permita operaciones inesperadas, como secuencias de comandos entre sitios.>>

Solución:>> elimine el # al principio de >>x-content-type>>  y  >>configúrelo>>  en >nosniff> en el archivo security_params.xml.>>

A continuación se muestra cómo se verá la solicitud de encabezado después de la corrección:>>

x-content-type = nosniff>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

Uso compartido de recursos de origen cruzado comodín inseguro (CORS)>>

Severidad: alta>>

El uso compartido de recursos de origen cruzado (CORS) es un estándar que define un conjunto de encabezados que permiten a un servidor y un navegador determinar qué solicitudes de recursos de dominio cruzado están permitidas y cuáles no. >La desventaja de este estándar es que no puede validar / incluir en la lista blanca a los solicitantes cuando el origen de  >>permiso de control de acceso>>  se establece en ' >>*>> '. >Este símbolo es un comodín y la configuración del control de acceso en * esencialmente permite que cualquier dominio en la web acceda a los recursos de ese sitio.>>

Solución:>> establezca el origen de  >>permiso de control de acceso>>  a un >>nombre de dominio>> específico  > para corregir la vulnerabilidad de CORS. >ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

Problema de autocompletado del navegador>>

Severidad: baja>>

La mayoría de los navegadores hacen una copia en caché de las credenciales de un usuario que se ingresan en formularios HTML. >Esta función almacena las credenciales en la máquina de un usuario, lo que permite una respuesta más rápida la próxima vez que el usuario intente acceder a la aplicación. >Esta vulnerabilidad puede ser aprovechada por un atacante con acceso local, lo que les permite ver contraseñas de texto sin cifrar desde la caché del navegador.>>

Solución:>> ADSelfService Plus no permite que la función de autocompletar se use en sus campos de contraseña.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015. >>

Falta la bandera HTTPOnly y la bandera segura en las cookies de sesión>>

Severidad: baja>>

Si una cookie de sesión no tiene una marca HttpOnly, se puede acceder a la cookie a través de JavaScript. >Básicamente, esto significa que un ataque XSS podría provocar el robo de cookies, lo que a su vez podría llevar a la toma de control de una cuenta o sesión.>>

Solución:>> habilite SSL en ADSelfService Plus, luego configure el indicador HTTPOnly y el indicador seguro para las cookies de sesión. >Si lo hace, el navegador devuelve una cadena vacía como resultado cuando un script del lado del cliente intenta leer las cookies. >ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

SHA1WithRSA vulnerabilidades>>

Severidad: alta>>

El uso de SHA1WithRSA provoca una vulnerabilidad de colisión, que permite a un atacante crear dos cadenas de entrada con el mismo hash SHA-1 con menos potencia computacional de la necesaria para una buena función hash. >>

Solución:>> ADSelfService Plus usa SHA256WithRSAENCRYPTION de forma predeterminada para superar esta vulnerabilidad de seguridad.>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

Fijación de sesión>>

Severidad: alta>>

En esta vulnerabilidad, un atacante apunta a las limitaciones de la administración de ID de sesión de la aplicación. >Cuando el usuario malintencionado visita la aplicación, se le asigna un ID de sesión. >El atacante toma nota de este ID de sesión y deja el navegador abierto. >Si otro usuario de la misma máquina se autentica en la aplicación sin cerrar el navegador, iniciará sesión con el ID de sesión establecido por el atacante. >El atacante puede utilizar esta información para obtener acceso completo a la cuenta de la aplicación del usuario hasta que finalice esa sesión. >Esto puede generar problemas de seguridad potenciales, ya que el atacante puede utilizar este acceso para cambiar la contraseña del usuario.>>

Solución:>> ADSelfService Plus crea nuevos ID de sesión para cada autenticación exitosa (es decir, para cada nueva sesión).>>

ADSelfService Plus solucionó esta vulnerabilidad en la compilación 5300, en abril de 2015.>>

Inyección SQL a través de la construcción del marco>>

Severidad: alta>>

La inyección de SQL ocurre cuando un atacante agrega o inyecta código malicioso en una declaración SQL ejecutada por la aplicación web. >Una inyección SQL exitosa permite a los atacantes falsificar la identidad de un usuario, alterar los datos existentes e incluso obtener un control completo sobre el servidor de la aplicación web.>>

Solución: las>> operaciones de la base de datos para ADSelfService Plus se manejan a través de nuestro marco interno para evitar inyecciones de SQL y otros ataques similares. >>

Cifrado SSL débil>>

Severidad: alta>>

Cada aplicación depende de la protección de tres parámetros, conocidos colectivamente como un conjunto de cifrado: autenticación, cifrado y algoritmos hash. >Una aplicación que depende de SSL / TLS para la transmisión de datos con cifrados débiles deja la aplicación desprotegida y permite que un atacante robe o manipule datos confidenciales.>>

Solución:>> agregue los cifrados seguros que se proporcionan a continuación a ADSelfService Plus en el archivo server.xml ( >>ubicación predeterminada:>> directorio de instalación / conf).>>

sistemas de cifrado = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" allowUnsafeLegacyRenegotiation = server "falsa" = "ADSelfService Plus" sslProtocol = sslEnabledProtocols "TLS" = "TLSv1.2" compresión = "off"  >>

Ejemplo:>>

<Connector sslEnabled = "true" acceptCount = "100" de compresión = "off" sistemas de cifrado = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" clientAuth = "true" ConnectionTimeout = "- 1" "0" disableUploadTimeout = enableLookups "verdaderos" debug = = "false" keystoreFile = "./ conf / server.keystore" keystorePass = "adventnet" maxSpareThreads = "75" maxThreads = "150" minSpareThreads = "25" nombre = "SSL" puerto = "9251" esquema = "https" secure = "true" allowUnsafeLegacyRenegotiation = "false" server = "AdselfservicePlus" sslProtocol = "TLS" sslEnabledProtocols = "TLSv1.2" />>>

 Si encuentra algún otro error no mencionado anteriormente, envíenos un correo electrónico a >>support@adselfserviceplus.com>> o llámenos al +1.408.916.9890.>>

Visita:  >>www.adselfserviceplus.com>>

ADSelfService Plus cuenta con la confianza de: