برای اجازه درخواستهای Cross-Origin، مقدار هدر باید trusted تنظیم شود.
7. Referrer-Policy
کنترل میکند که چه مقدار اطلاعات Referrer در درخواستها ارسال شود.
مقدار توصیهشده:same-origin
8. Expect-CT
این هدر به سایتها اجازه میدهد تا گزارشدهی و اجرای Certificate Transparency را فعال کنند و از استفاده از گواهینامههای نادرست جلوگیری کنند.
مقدار توصیهشده:enforce, max-age=300
عالی! در ادامه، بخش اضافه کردن هدرهای امنیتی و پیکربندیهای پیشگیری از تهدیدات مختلف را به ترجمه و بازنویسی حرفهای و روان آماده کردهام:
افزودن هدرهای امنیتی جدید (Security Response Headers)
برای افزایش امنیت برنامه میتوانید هدرهای پاسخ جدید اضافه کنید:
به مسیر [SDP_Home]/conf بروید.
فایل securitysettings.json را باز کنید.
هدرهای پاسخ جدید خود را در آرایه "response_headers" اضافه کنید.
فایل را ذخیره کرده و برنامه را راهاندازی مجدد (Restart) کنید.
هدرهای اضافهشده در رابط کاربری برنامه، مسیر ESM Directory/Admin > Security Settings نمایش داده میشوند. میتوانید هدرهای مورد نیاز را انتخاب و فعال کنید.
پیشگیری از حملات Brute-Force
حمله Brute-Force از طریق آزمون و خطا سعی میکند رمز عبور، کلید رمزنگاری یا صفحات مخفی را حدس بزند.
راهحل: فعالسازی گزینه Configure account lockout threshold and duration از مسیر: Admin > General > Security Settings > Advanced
غیرفعال کردن ورود همزمان کاربران (Concurrent Logins)
ورود همزمان میتواند منجر به سوءاستفاده از حسابهای معتبر توسط افراد غیرمجاز شود.
این مشکل ممکن است دسترسی غیرمجاز به اطلاعات و منابع کاربران ایجاد کند.
راهحل: فعالسازی گزینه Disable concurrent logins از مسیر: Admin > General > Security Settings
مسدود کردن آپلود فایلهای مخرب
برای جلوگیری از افزودن فایلهای مخرب، File Attachment Filtering را فعال کنید: مسیر: Admin > General Settings > Attachment Settings
پس از فعالسازی، میتوانید نوع فایلهایی که باید محدود شوند را با انتخاب گزینه Exclude مشخص کنید.
همچنین میتوانید فایلهای غیرپشتیبانیشده را با کلیک روی Add New مسدود یا مجاز کنید.
فعالسازی انتقال رمز عبور رمزنگاریشده
ارسال رمز عبور به صورت متن ساده (Clear Text) خطر امنیتی جدی است.
راهحل: فایل product-config.xml را باز کرده و مقدار زیر را به "true" تغییر دهید:<configuration name="user.password.encrypt" value="true"/>
برنامه را Restart کنید تا تنظیمات اعمال شود.
غیرفعال کردن قابلیت “Keep me signed in”
این قابلیت امنیت برنامه را کاهش میدهد، زیرا توکن نشست (Session Token) دائماً ذخیره میشود و ممکن است توسط هکر استفاده شود.
راهحل: غیرفعال کردن این ویژگی از مسیر: Admin > General > Security Settings
رفع مشکل امنیتی Domain Enumeration (CVE-2018-7248)
کاربران غیرمجاز میتوانند حسابهای دامنه را با ارسال درخواست به API بررسی کنند.
راهحل: غیرفعال کردن گزینه Enable Domain dropdown during login از مسیر: Admin > General > Security Settings > Advanced
جلوگیری از استفاده از URLهای بدون احراز هویت
معمولاً URL غیرورود (Non-login URL) برای آپلود اطلاعات داراییها ایجاد میشود.
توصیه میشود این URL در شرایط زیر غیرفعال شود:
مدیریت دارایی استفاده نمیشود
اسکن مبتنی بر اسکریپت استفاده نمیشود
ServiceDesk Plus با Endpoint Central یکپارچه نیست
نسخه تحت اینترنت (Cloud) استفاده میشود
راهحل: فعالسازی گزینه Stop uploading scanned XMLs via non-login URL از مسیر: Admin > General > Security Settings
برای URLهای غیرورود مربوط به Approval، توصیه میشود Login اجباری شود: مسیر: Admin > Self-Service Portal Settings > Allow approval actions from logged-in users only
غیرفعال کردن Copy و Paste در فیلدهای رمز عبور
راهحل: فعالسازی گزینه Disable paste for password fields از مسیر: Admin > General > Security Settings
حذف روشهای HTTP آسیبپذیر
برخی HTTP Methods شناسایی شدهاند که آسیبپذیر هستند و میتوان آنها را غیرفعال کرد.
راهحل:
اجرای کوئری زیر در Database Query Console:update GlobalConfig SET PARAMVALUE = 'OPTIONS,TRACE' where PARAMETER = 'DISABLED_HTTP_METHODS';
راهاندازی مجدد سرور برنامه (Restart)
ادامه مطلب در صفحه بعدی...
مدانت
[ مجری تخصصی پیادهسازی چارچوب ITIL و تحول دیجیتال ]
مقایسه حرفهای SQL Server و PostgreSQL برای محصولات ManageEngine در دنیای نرمافزارهای سازمانی، انتخاب پایگاه داده مناسب تأثیر مستقیمی بر پایداری، عملکرد...