Une analyse
Burp Suite a été exécutée sur ePO, ce qui a entraîné les problèmes ci-dessous :
- Cacheable SSL Page trouvée
La plupart des navigateurs Web sont configurés par défaut pour mettre en cache les pages de l'utilisateur pendant leur utilisation. Cette action met également en cache les pages SSL. Nous vous déconseillons d'activer le navigateur Web pour enregistrer les informations SSL. Ces informations peuvent être compromises lorsqu'une vulnérabilité existe.
- Trop permissif CORS Access Policy
Cross-Origin Resource Sharing (CORS) est un mécanisme qui permet aux sites Web de demander des ressources à des sites externes. Cette action évite d'avoir à les dupliquer. Lorsqu'ils accordent l'accès à des sites externes, ils peuvent également effectuer plusieurs actions sur le site d'octroi et y exécuter des scripts. Il est donc important de ne pas accorder l'accès à n'importe quel site, mais uniquement aux sites de confiance.
- Des suites de chiffrement SHA-1 ont été détectées
Le serveur prend en charge les suites de chiffrement SHA-1. Le NIST a officiellement déprécié SHA-1 en 2011, mais de nombreuses applications en dépendent encore.
- Lien tiers non sécurisé (target="_blank")
L'attribut target="_blank" est ajouté aux éléments de lien pour que le lien s'ouvre dans une nouvelle fenêtre. Les balises de lien de ce type (par exemple, avec l'attribut target="_blank" ) exposent des parties de l'objet window de la page d'origine à la page liée via l'objet window.opener. Ces informations peuvent être exploitées pour des attaques de phishing si la page liée est malveillante.
- Chaîne de connexion à la base de données divulguée :
une chaîne de connexion à la base de données spécifie des informations sur une source de données et les moyens de s'y connecter. Dans les applications Web, les chaînes de connexion sont utilisées par le niveau application pour se connecter à la base de données arrière utilisée pour stocker les données d'application. Ils sont lus à partir des fichiers de configuration côté serveur ou codés en dur dans le code source de l'application.
Recherche et conclusions L'équipe d'ingénierie d'ePO a examiné ces résultats et déterminé ce qui suit :
- Cacheable SSL Page trouvée
Ce rapport est un faux positif. ePO définit aujourd'hui les en-têtes suivants pour désactiver la mise en cache de presque toutes les pages ePO. Les fichiers JS statiques qui ne contiennent aucune donnée sensible n'auraient pas ces en-têtes définis par conception pour améliorer les performances.
- Politique d'accès CORS trop permissive
Ce rapport est un faux positif. Aujourd'hui, ePO ne définit aucun en-tête CORS pour autoriser l'accès à d'autres domaines. Si aucun en-tête n'est défini, il est sécurisé par défaut. Par exemple, les navigateurs n'autoriseraient aucun autre site Web de domaine à accéder aux ressources d'ePO.
- Des suites de chiffrement SHA-1 ont été détectées
Nous confirmons qu'ePO active certaines suites de chiffrement SHA-1. Cette action est différente de l'algorithme de signature utilisé dans les certificats ePO. Dans les certificats ePO, nous ne prenons pas en charge SHA-1. ePO s'appuie sur les fournisseurs de chiffrement certifiés FIPS sous-jacents pour choisir les suites de chiffrement les plus puissantes lors des connexions TLS. Nous avons dû conserver certains des anciens chiffrements, mais toujours sécurisés, que le mode FIPS permet de prendre en charge toutes les mises à niveau ePO possibles pour nos clients. Nous évaluons notre liste de suites de chiffrement lors de chaque nouvelle version d'ePO et apportons des améliorations en conséquence sans casser les clients existants. Les suites de chiffrement SHA-1 seront désactivées dans les futures versions d'ePO.
- Lien tiers non sécurisé (target="_blank")
ePO ne lie aucune cible fournie par l'utilisateur ou non approuvée de cette manière, nous ne considérons donc pas ce rapport comme un problème. Tous les liens externes ajoutés par ePO sont tous des domaines approuvés par défaut (exemple : *.trellix.com).
- Chaîne de connexion à la base de données divulguée
Nous avons examiné cette découverte et il n'y a aucune fuite d'informations concernant la base de données. Un utilisateur ePO authentifié sur la console peut afficher des informations telles que le nom d'utilisateur, si l'utilisateur dispose des autorisations appropriées pour la fonction ePO correspondante.