هدرهای امنیتی HTTP و پیکربندی‌های توصیه‌شده

1. HTTP Strict-Transport-Security (HSTS)

• HSTS یک هدر پاسخ (Response Header) است که مرورگرها را ملزم می‌کند تا فقط از HTTPS برای دسترسی به سایت‌ها استفاده کنند و از HTTP جلوگیری شود.
• مقدار توصیه‌شده:max-age=31536000; includesubdomains; preload
• مزایا:
  • جلوگیری از آسیب‌پذیری Strict TLS و CWE-523
  • تضمین می‌کند که هیچ ترافیک HTTP رمزنگاری‌نشده دریافت نشود
  • بهبود زمان بارگذاری صفحه با حذف ریدایرکت‌های HTTP به HTTPS در صورت استفاده از Preload

2. Cache-Control

• این هدر، دستورالعمل‌هایی برای ذخیره‌سازی و کش کردن درخواست‌ها و پاسخ‌ها ارائه می‌دهد.
• مقدار توصیه‌شده:public, max-age=8640000
• مزایا:
  • کاهش پهنای باند با کاهش تعداد مسیرهای شبکه مورد نیاز برای پاسخ به درخواست‌ها
  • کاهش Latency با پاسخگویی به درخواست‌ها نزدیک‌تر به کاربر
  • کاهش بار سرور با امکان پاسخگویی کش‌ها
  • افزایش Robustness با امکان ارائه محتوا حتی در صورت از دسترس خارج شدن سرور

3. X-Content-Type-Options

• محافظت در برابر MIME sniffing vulnerabilities که ممکن است باعث اجرای محتوای مخرب و حملات XSS شود.
• مقدار توصیه‌شده:nosniff
• با این پیکربندی، ServiceDesk Plus در برابر آسیب‌پذیری‌های Content Sniffing ایمن می‌شود.

4. X-Frame-Options

• مشخص می‌کند که مرورگر آیا اجازه رندر کردن صفحه داخل <frame>, <iframe>, <embed> یا <object> را دارد یا خیر.
• مقدار توصیه‌شده:SAMEORIGIN
• مزیت: جلوگیری از Clickjacking و تضمین می‌کند که محتوای سایت در سایت‌های دیگر جاسازی نشود.

5. X-XSS-Protection

• فعال‌سازی فیلتر XSS داخلی مرورگرهای مدرن.
• مقدار توصیه‌شده:1; mode=block
• مزیت: ServiceDesk Plus را در برابر Reflected XSS ایمن می‌کند.

6. Access-Control-Allow-Origin

• مشخص می‌کند که پاسخ می‌تواند از Origin مشخصی به اشتراک گذاشته شود.
• مقدار توصیه‌شده:https://www.zoho.com, https://www.google.com
• برای اجازه درخواست‌های Cross-Origin، مقدار هدر باید trusted تنظیم شود.

7. Referrer-Policy

• کنترل می‌کند که چه مقدار اطلاعات Referrer در درخواست‌ها ارسال شود.
• مقدار توصیه‌شده:same-origin

8. Expect-CT

• این هدر به سایت‌ها اجازه می‌دهد تا گزارش‌دهی و اجرای Certificate Transparency را فعال کنند و از استفاده از گواهینامه‌های نادرست جلوگیری کنند.
• مقدار توصیه‌شده:enforce, max-age=300

عالی! در ادامه، بخش اضافه کردن هدرهای امنیتی و پیکربندی‌های پیشگیری از تهدیدات مختلف را به ترجمه و بازنویسی حرفه‌ای و روان آماده کرده‌ام:

افزودن هدرهای امنیتی جدید (Security Response Headers)

برای افزایش امنیت برنامه می‌توانید هدرهای پاسخ جدید اضافه کنید:

1. به مسیر [SDP_Home]/conf بروید.
2. فایل securitysettings.json را باز کنید.
3. هدرهای پاسخ جدید خود را در آرایه "response_headers" اضافه کنید.
4. فایل را ذخیره کرده و برنامه را راه‌اندازی مجدد (Restart) کنید.

هدرهای اضافه‌شده در رابط کاربری برنامه، مسیر ESM Directory/Admin > Security Settings نمایش داده می‌شوند. می‌توانید هدرهای مورد نیاز را انتخاب و فعال کنید.

پیشگیری از حملات Brute-Force

• حمله Brute-Force از طریق آزمون و خطا سعی می‌کند رمز عبور، کلید رمزنگاری یا صفحات مخفی را حدس بزند.
• راه‌حل: فعال‌سازی گزینه Configure account lockout threshold and duration از مسیر:
  Admin > General > Security Settings > Advanced

غیرفعال کردن ورود هم‌زمان کاربران (Concurrent Logins)

• ورود هم‌زمان می‌تواند منجر به سوءاستفاده از حساب‌های معتبر توسط افراد غیرمجاز شود.
• این مشکل ممکن است دسترسی غیرمجاز به اطلاعات و منابع کاربران ایجاد کند.
• راه‌حل: فعال‌سازی گزینه Disable concurrent logins از مسیر:
  Admin > General > Security Settings

مسدود کردن آپلود فایل‌های مخرب

• برای جلوگیری از افزودن فایل‌های مخرب، File Attachment Filtering را فعال کنید:
  مسیر: Admin > General Settings > Attachment Settings
• پس از فعال‌سازی، می‌توانید نوع فایل‌هایی که باید محدود شوند را با انتخاب گزینه Exclude مشخص کنید.
• همچنین می‌توانید فایل‌های غیرپشتیبانی‌شده را با کلیک روی Add New مسدود یا مجاز کنید.

فعال‌سازی انتقال رمز عبور رمزنگاری‌شده

• ارسال رمز عبور به صورت متن ساده (Clear Text) خطر امنیتی جدی است.
• راه‌حل: فایل product-config.xml را باز کرده و مقدار زیر را به "true" تغییر دهید:<configuration name="user.password.encrypt" value="true"/>
• برنامه را Restart کنید تا تنظیمات اعمال شود.

غیرفعال کردن قابلیت “Keep me signed in”

• این قابلیت امنیت برنامه را کاهش می‌دهد، زیرا توکن نشست (Session Token) دائماً ذخیره می‌شود و ممکن است توسط هکر استفاده شود.
• راه‌حل: غیرفعال کردن این ویژگی از مسیر:
  Admin > General > Security Settings

رفع مشکل امنیتی Domain Enumeration (CVE-2018-7248)

• کاربران غیرمجاز می‌توانند حساب‌های دامنه را با ارسال درخواست به API بررسی کنند.
• راه‌حل: غیرفعال کردن گزینه Enable Domain dropdown during login از مسیر:
  Admin > General > Security Settings > Advanced

جلوگیری از استفاده از URLهای بدون احراز هویت

• معمولاً URL غیرورود (Non-login URL) برای آپلود اطلاعات دارایی‌ها ایجاد می‌شود.
• توصیه می‌شود این URL در شرایط زیر غیرفعال شود:
  • مدیریت دارایی استفاده نمی‌شود
  • اسکن مبتنی بر اسکریپت استفاده نمی‌شود
  • ServiceDesk Plus با Endpoint Central یکپارچه نیست
  • نسخه تحت اینترنت (Cloud) استفاده می‌شود
• راه‌حل: فعال‌سازی گزینه Stop uploading scanned XMLs via non-login URL از مسیر:
  Admin > General > Security Settings
• برای URLهای غیرورود مربوط به Approval، توصیه می‌شود Login اجباری شود:
  مسیر: Admin > Self-Service Portal Settings > Allow approval actions from logged-in users only

غیرفعال کردن Copy و Paste در فیلدهای رمز عبور

• راه‌حل: فعال‌سازی گزینه Disable paste for password fields از مسیر:
  Admin > General > Security Settings

حذف روش‌های HTTP آسیب‌پذیر

• برخی HTTP Methods شناسایی شده‌اند که آسیب‌پذیر هستند و می‌توان آن‌ها را غیرفعال کرد.
• راه‌حل:
  1. اجرای کوئری زیر در Database Query Console:update GlobalConfig SET PARAMVALUE = 'OPTIONS,TRACE' where PARAMETER = 'DISABLED_HTTP_METHODS';
  2. راه‌اندازی مجدد سرور برنامه (Restart)