应用程序安全及其重要性

Password security过去是且将来一直是全球各组织的外部麻烦的来源。在客户眼中,较弱的密码管理解决方案有损于公司的声誉。如今,黑客们可以轻松弄到更好的硬件和现代化的黑客技术,并随时准备着利用任何技术漏洞。一款密码管理解决方案提供相当程度的保护。但当应用程序本身带有漏洞时,则会后患无穷,除非组织立即执行纠正操作。

ManageEngine ADSelfService Plus尽自己所能,即时消除产品中可能出现的任何漏洞。我们将密码安全视为重中之重,在密码相关问题方面保持高度的警惕。

以下是我们在产品中识别的一些安全漏洞及修复方式的列表。

问题与修复:

选择
  • XSS漏洞
  • CSRF漏洞
  • Cross Frame Scripting (XSF)/Click Jacking
  • Weak Cache Policy/Server Cache Policy
  • MIME-SNIFFING
  • Cross Origin Resource Sharing (CORS)
  • Browser Auto-complete Issue
  • HTTPOnly and Secure Flag
  • SHA1WithRSA for CSR creation
  • jQuery migrated to new version to avoid Vulnerability
  • Session Fixation
  • HTTP Methods Blocking
  • SQL Injection through framework build
  • Weak SSL Cipher

问题: XSS 漏洞

跨站点脚本(XSS)攻击是指攻击者在目标应用程序中注入脚本。当用户运行该脚本时,则该脚本将在未被发现的情况下在应用程序安全环境中运行。此外,X-XSS-Protection头在每个请求中进行设定。大多数浏览器识别此头,它们在看到此请求头后采取必要的操作来阻止XSS攻击。

修复: 应用程序针对用户相应的输入而显示的输出进行编码并显示以阻止外部脚本在应用程序内运行。

问题: CSRF 漏洞

跨站点请求伪造(CSRF)攻击强制最终用户在他们当前已进行身份验证的web应用程序上执行不想要的操作。

修复: 该应用程序对每个从其发起的请求发送令牌,将阻止运行任何未提供正确验证令牌的不想要操作。

此修复已随2015年5月发布的ADSelfService Plus build 5300而发布。

问题: 跨帧脚本攻击(XSF)/点击劫持

在XFS攻击中,攻击者利用web浏览器中特定的跨帧脚本漏洞来访问第三方网站上的私有数据。

修复: 此漏洞已通过在响应头添加与源相同的X-Frame-Options来修复。这阻止第三方站点用IFrames载入ADSelfService Plus。

注: 要启用此修复,请从安装文件夹打开conf\security-params.xml文件,并将X-Frame-Options开头处的#号移除。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: 弱缓存策略/服务器缓存策略

正常情况下安全的HTTPs会话可能因在共享缓存或浏览器缓存中存储敏感页副本而被损害。

修复: 产品中的每个HTTP页均用cache-control、pragma、expires响应头进行设置以阻止任何数据的缓存。

注: 要启用此修复,请从安装文件夹打开conf\security-params.xml文件,并将该行开头处的#号移除。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: MIME-SNIFFING

攻击者操纵web应用程序以将其内容像HTML一样显示,并将其脚本注入。

修复: 此漏洞已通过添加X-Content-Type-options作为nosniff进行修复。

注: 要启用此修复,请从安装文件夹打开conf\security-params.xml文件,并将X-content-type-options开头处的#号移除。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: 跨域资源共享(CORS)

CORS攻击允许从资源发起所在的域以外的另一个域来请求网页上的受限制资源。

修复: 已通过设置Access-control-allow-origin=domainname修复了CORS漏洞。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: 浏览器自动完成问题

现代浏览器缓存用户和管理员的凭证,并在下次访问时自动填写它们。

修复: 已将每个密码字段的自动完成设置设为“关闭”以修复自动完成问题。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: HTTPOnly和Secure标记

此漏洞是流行的中间人攻击的变种。当使用HTTP协议时,用纯文本来发送流量。它允许攻击者查看/修改流量。

修复: 用HTTPonly和secure标记设置身份验证cookie,它只返回空字符串。由于攻击者拦截不到任何有用的数据,因此解决了此漏洞。

注: 必须启用HTTPs以对身份验证cookie设置安全标记。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: 对CSR创建使用SHA1WithRSA

已发现用于加密信息的安全哈希算法容易受到攻击。

修复: CSR创建现在使用SHA256WithRSA加密来克服此安全漏洞。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: jQuery迁移至新版本以避免出现漏洞

所使用的jQuery v1.4带有安全漏洞。

修复: 通过迁移至jQuery v1.8,已修复这些安全漏洞。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: 会话固定

会话固定攻击通过超链接/cookie获得用户的会话ID,从而窃取用户会话。

修复: Tomcat通过对不同会话使用不同的会话ID,提供了修复办法。此外,ADSelfService Plus不对产品内的任何超链接提供会话ID。而且,该产品可防范此攻击,但此攻击可帮助窃取cookie。

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: HTTP方法阻止

诸如HEAD、DELETE、PUT、OPTIONS AND CONNECT之类的方法在产品中未使用。这些未使用的方法可能被用来执行意外的行为。

修复: ADSelfService Plus阻止所有未使用的HTTP方法来克服此漏洞

此问题已在2015年5月发布的ADSelfService Plus build 5300中修复。

问题: 通过框架构建进行SQL注入

SQL注入是一种类型的web应用程序安全漏洞,攻击者在其中能够提交由web应用程序执行的数据库SQL命令,从而暴露后端数据库。

修复: 通过内部框架来处理数据库操作,以避免安全漏洞。

问题: 弱SSL密码

弱SSL密码用来加密。

修复:

要在不损害浏览器兼容性的情况下修复此问题,请使用以下密码:(Mozilla推荐密码)

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
  • TLS_RSA_WITH_AES_128_CBC_SHA256,
  • TLS_RSA_WITH_AES_128_CBC_SHA,
  • TLS_RSA_WITH_AES_256_CBC_SHA256,
  • TLS_RSA_WITH_AES_256_CBC_SHA

要在增强安全性的前提下修复此问题,但会损害浏览器的兼容性,请使用以下密码:(OWASP推荐密码)

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

我们一直比其他竞争对手重视客户的安全考虑,只要找出漏洞,就立即着手解决。我们向您保证,将一如既往地坚持这一点,为您尽可能提供无漏洞的密码管理解决方案。如果您确实在我们的产品中发现仍未解决的任何漏洞,请联系我们:support.list@zohocorp.com.cn

我们的客户