مدیریت مجوزهای پوشه‌ها و فایل‌ها

1. تنظیم مجوزها برای نصب‌های تازه

• در هنگام نصب، برنامه به‌صورت خودکار مجوزهای لازم را به همه کاربران ادمین و کاربری که برنامه را نصب کرده است اختصاص می‌دهد.
• پس از این مرحله، هیچ کاربر دیگری نمی‌تواند به دایرکتوری نصب دسترسی داشته باشد.
• این تنظیمات برای نسخه ServiceDesk Plus 14304 و بالاتر به‌طور خودکار اعمال می‌شوند.

2. تنظیم مجوزها برای نصب‌های قدیمی

• برای نصب‌های قدیمی‌تر (ServiceDesk Plus < 14304)، این کار به‌صورت خودکار انجام نمی‌شود و باید دستی تنظیم شود:
  1. به مسیر <application home directory>\bin بروید.
  2. فایل setPermission.bat یا setPermission.sh را اجرا کنید تا مجوزهای لازم تنظیم شوند.
  3. پس از اجرای این فایل، فقط کاربران ادمین و کاربری که برنامه را نصب کرده است می‌توانند به دایرکتوری و فایل‌های نصب دسترسی داشته باشند.

نکته: فایل setPermission.bat باید توسط کاربر دارای دسترسی ادمین اجرا شود. برای این کار، روی Command Prompt راست‌کلیک کرده و گزینه Run as administrator را انتخاب کنید.

مدیریت کوکی‌ها

3. Handling Sensitive Cookies

• ServiceDesk Plus برای تمام کوکی‌های حاوی اطلاعات حساس، ویژگی‌های Secure و HttpOnly را فعال می‌کند.
• توجه: ویژگی Secure تنها زمانی فعال می‌شود که برنامه از پروتکل HTTPS استفاده کند.

4. تنظیم SameSite برای کوکی‌ها

• برای پیکربندی ویژگی SameSite، از کوئری زیر در Database Query Console استفاده کنید:update globalconfig set paramvalue={value} where parameter like '%SAMESITECOOKIE%';
• {value} می‌تواند یکی از مقادیر Strict, Lax یا None باشد. مقدار پیش‌فرض None است.

روش‌های HTTP و مدیریت جلسه

5. روش‌های HTTP

• روش‌های PUT و DELETE توسط برنامه به‌صورت امن استفاده می‌شوند و همه بررسی‌های لازم انجام شده است.
• روش HEAD مشابه GET است و فقط متادیتای پاسخ را دریافت می‌کند، بنابراین هیچ تهدید امنیتی ندارد.

6. پیشگیری از Hijacking جلسات

• هکرها می‌توانند از جلسات فعال سوءاستفاده کنند.
• راه‌حل: تنظیم Session Timeout از مسیر:
  Admin > General > Security Settings

آسیب‌پذیری‌های پوشش داده شده (ServiceDesk Plus ایمن در برابر)

• Session fixation
• XML external entity injection
• Insecure deserialization
• Autocomplete فعال در فیلدهای رمز عبور
• Local file inclusion / Remote file inclusion
• Bypass محدودیت دسترسی با Origin Spoof
• Clipboard data stealing
• Remote Code Execution (RCE)
• Denial-of-Service (DoS) و آسیب‌پذیری‌های مرتبط با Apache Commons FileUpload، Tomcat، Struts، jQuery، Bootstrap، Handlebars و سایر فریمورک‌ها
• Zip Slip
• TRACE method
• Host header injection
• Spring4Shell, Log4Shell
• اطلاعات حساس و نشتی داده‌ها (CVEهای 2020–2024)
• سایر آسیب‌پذیری‌های شناخته شده در PostgreSQL و Tomcat

قابلیت‌های اجرایی با خطر کم

برخی ویژگی‌های ServiceDesk Plus که به کاربران اجازه اجرای دستورات OS را می‌دهند، به‌طور صحیح بررسی شده‌اند و به عنوان مشکل امنیتی محسوب نمی‌شوند:

• Request Custom Menu
• Request Custom Trigger
• Custom Trigger
• Custom Functions
• Custom Schedules

توصیه‌های امنیتی:

• استفاده از رمزهای قوی برای حساب ادمین
• عدم اشتراک‌گذاری اطلاعات ادمین
• فعال‌سازی OTP هنگام ذخیره تنظیمات ادمین

پیشگیری از XSS در سفارشی‌سازی صفحات

• ویژگی‌هایی که امکان اجرای محتوای HTML دارند:
  • Self Service Portal Customization
  • Page Scripts
  • ESM Portal Customization
  • Customize Login Page

راه‌حل‌ها:

• رمز قوی برای حساب ادمین
• عدم اشتراک‌گذاری اطلاعات ادمین
• فعال‌سازی OTP هنگام ذخیره تنظیمات