ManageEngine ServiceDesk Plus software security approvals compliant with OWASP standard
تاییدیه های امنیتی نرم افزار سرویس دسک پلاس منطبق با استاندارد مطرح شده در OWASP | |||||
تاییدیه | عنوان لایه تایید امنیت | وضعیت | سطح تایید امنیتی | شرح مختصر | |
V1. | Architecture, design and threat modelling | V1 – معماری، طراحی و مدل سازی | √ | ۲ | تایید می شود که این نرم افزار بر پایه معماری برنامه نویسی و مدلینگ جاوا وب سرویس تامکت بطور کلاس بندی شده در فایلهای Jar تولید و کامپایل شده است. |
V2. | Authentication | V2 – احراز هویت | √ | ۲ | تایید می شود که احراز هویت سرویس با استفاده از پروتکل های استاندارد جهانی Activedirectory/LADP/SSO/NTLM است. |
V3. | Session management | V3 – مدیریت جلسه | √ | ۲ | تایید می شود که تمامی جلسات Session سرویس پس از حداکثر زمان پیش فرض بسته می شود و برای ورود نیازمند درج مجدد پسورد و ایجاد جلسه Session جدیدی است شبیه آنچه در نرم افزارهای مالی/ بانکی دیده اید! |
V4. | Access control | V4 – کنترل دسترسی | √ | ۲ | ابزار جاوا سکیوریتی چک ابزاری که کلیه رمز ها را بصورت هش hash شده تبدیل و کنترل می کند |
V5. | Malicious input handling | V5 – دستکاری ورودی مخرب | √ | ۲ | تایید می شود که ملاحظات و تدابیر حفاظتی جلوگیری از انواع حملات تزریق , استفاده از پورتلت های ایمن جاوا از هرگونه پاس دادن پارامترهای مخرب در ورودی های نرم افزار جلوگیری و پیغام های مرتبط را به نفوذگر ارایه می کند. |
V7. | Cryptography at rest | V7 – رمزنگاری در حالت استفاده از API Rest | √ | ۲ | تایید می شود که با تجهیز سرویس دسک به پروتکل امنیتی(SSL) کلیه انتقال دادهها بین سرویس دهنده (Server) و سرویس گیرنده (Client) به صورت رمزنگاری ارایه می گردد |
V8. | Error handling and logging | V8 – خطا در مدیریت و ثبت نام | √ | ۲ | تایید می شود که وجود سیستم تولید گزارش لاگ خطا، امکان تولید فایل پشتیبان خطا و توسط اسکرپیت آماده داخلی/ ابزار جاوا سکیوریتی چک ابزاری که کلیه رمز ها را بصورت هش hash شده تبدیل و کنترل می کند. |
V9. | Data protection | V9 – حفاظت از داده ها | √ | ۲ | تایید می شود که استفاده از ابزارهای دورنی پشتیبان گیری و آرشیوسازی کلیه داده ها بر اساس زمانبندی های مشخص و تعیین شده توسط راهبر همواره در حفاظت کامل خواهد بود |
V10. | Communications | V10 – ارتباطات | √ | ۲ | تایید می شود که این سرویس صرفا با دیتابیس و در برخی موارد صرفا آخرین تازه های نسخه جدید و RSS انجمن گفتگو را در صورت اتصال به اینترنت می خواند و سایر ارتباطات از درگاههای امن SSL-TSL استفاده می شود |
V11. | HTTP security configuration | V11 – تنظیمات امنیتی HTTP | √ | ۲ | تایید می شود که امکان نصب کلیدهای امنیتی SSL برای حفاظت از نرم افزار در محیط اینترنتی در صورت لزوم وجود دارد. |
V13. | Malicious controls | V13 – کنترل های مخرب | √ | ۲ | تایید می شود که این سرویس دارای امنیت نقطه به نقطه است هیچ Backdoor برای نفوذ از طریق لایه های امنیتی نرم افزار وجود ندارد و این نرم افزار به روش کلاس بندی جاوا و پردازش ها بصورت Runtime اجرا می شود |
V15. | Business logic | V15 – منطق تجارت | √ | ۲ | تأیید می شود که برنامه پردازش جریان منطق کسب و کار را در فرایند ترتیبی متوالی پردازش می کند، با تمام مراحل در زمان واقعی انسان پردازش می شود و فرآیند خارج از دستور، مراحل پرش، مراحل فرآیند از یک کاربر دیگر یا انجام معاملات بسیار سریع ارائه نمی شود و برنامه دارای محدودیت های تجاری است و به درستی بر اساس یک کاربر اجرا می شود، با هشدار قابل تنظیم و واکنش های خودکار به حمله خودکار یا غیر معمول. |
V16. | File and resources | V16 – فایل و منابع | √ | ۲ | تأیید می شود که آدرسهای غیر قابل اعتماد و فایل های غیر قابل اطمینان ارائه شده به برنامه مستقیما با دستورات I / O فایل مورد استفاده قرار نمی گیرد، به خصوص برای محافظت در برابر عبور مسیر، فایل محلی شامل، نوع فایل MIME و آسیب پذیری های دستور فرمان OS است و داده های نامعتبر در به اشتراک گذاری منابع crossdomain (CORS) برای محافظت در برابر محتوای دلخواه از راه دور استفاده نمی شود. و فایل های به دست آمده از منابع غیر قابل اعتماد در خارج از webroot ذخیره می شود، با مجوز های محدود، ترجیحا با اعتبار قوی و سرور وب یا برنامه به صورت پیش فرض پیکربندی شده است تا دسترسی به منابع از راه دور یا سیستم های خارج از وب یا سرور برنامه را رد کند و کد برنامه را بررسی کنید داده های بارگذاری شده از منابع غیر قابل اعتماد را اجرا نکند و Active-X، Silverlight، NACL، جاوا سرویس گیرنده یا سایر تکنولوژی های سمت سرویس گیرنده که از طریق استانداردهای مرورگر W3C پشتیبانی نمی شود استفاده نکنید. |
V17. | Mobile | V17 – موبایل | √ | ۲ | این نرم افزار دارای نسخ موبایل مبتنی بر اندروید و IOS و ویندوز هست که در صورت نیاز به راه اندازی تأیید می شود که برنامه تلفن همراه داده های حساس را در منابع مشترک به طور غیرحرفه ای در دستگاه ذخیره نمی کند (به عنوان مثال کارت SD یا پوشه های مشترک و داده های حساس بر روی دستگاه محافظت نشده، حتی در مناطقی محافظت شده از قبیل کلید های زنجیره ای و کلید های مخفی، برچسب های API یا کلمه عبور به طور پویا در برنامه های تلفن همراه تولید می شوند. همچنین برنامه تلفن همراه مانع از نشت اطلاعات حساس (به عنوان مثال، تصاویر از برنامه فعلی به عنوان برنامه پس زمینه محافظت می شود و یا نوشتن اطلاعات حساس در کنسول). و برنامه درخواست مجوز حداقل برای عملکرد و منابع مورد نیاز است. و کد حساس به برنامه غیر قابل پیش بینی در حافظه (به عنوان مثال ASLR) قرار داده شده است.تأیید می شود که تکنیک های ضد اشکال وجود دارد که به اندازه کافی کافی است تا مهاجمین احتمالی را از تزریق debuggers به برنامه تلفن همراه جلوگیری یا به تاخیر اندازند (برای مثال GDB). در غیر اینصورت براحتی می توان استفاده از اپلیکیشن سرویس را در نرم افزار غیرفعال نمود. |
V18. | Web services (NEW for 3.0) | V18 – خدمات وب / نسخه ۳ | √ | ۲ | تأیید می شود که دسترسی به مدیریت و عملکرد مدیریت در برنامه سرویس وب محدود به مدیران سرویس وب است. و یک شیء رمزگذاری مشابه بین سرویس گیرنده و سرور استفاده می شود. تأیید می شود که طرح XML یا JSON در محل و قبل از پذیرش ورودی تایید شده است. و همه ورودی محدود به اندازه محدود مناسب استو خدمات وب مبتنی بر SOAP با استاندارد اساسی خدمات WS-I (WS-I) حداقل را پشتیبانی می کند. این اساسا به معنی رمزگذاری TLS است. تأیید هویت و مجوز بر اساس جلسه را تأیید می شود.. |
V19. | Configuration (NEW for 3.0) | V19 – پیکربندی / نسخه ۳ | √ | ۲ | تایید می شود که تمام جزییات باید با پیکربندی (امنیتی) مناسب و نسخه (ها) به روز باشند. این باید شامل حذف پیکربندی های غیر ضروری و پوشه ها مانند برنامه های نمونه، مستندات پلت فرم و کاربران پیش فرض یا نمونه باشد. که این مهم در سرویس دسک لحاظ شده و ارتباط بین اجزای سازنده، مانند بین سرور نرم افزار و سرور پایگاه داده، باید رمزگذاری شود، به ویژه هنگامی که اجزاء در ظروف مختلف یا در سیستم های مختلف هستند. ارتباط بین اجزای سازنده، مانند بین سرور برنامه و سرور پایگاه داده، باید با استفاده از یک حساب کاربری با حداقل امتیازات لازم، تأیید شود. تأیید استقرار برنامه های کاربردی به اندازه کافی مستقل از جعبه، کانتینر یا جدا شده برای تأخیر و جلوگیری از حمله کنندگان به حمله به برنامه های دیگر است. و برنامه های کاربردی ایجاد شده و فرآیندهای استقرار در حالت امن انجام می شود. تأیید می شود که مدیران مجاز توانایی تأیید صحت تمام تنظیمات امنیتی را دارند تا اطمینان حاصل شود که آنها با آن دستکاری نکرده اند. و تمام اجزای برنامه امضا شده است. |
تصورات غلط درباره سرویس دسک پلاس را از این لینک بخوانید