È stata eseguita una scansione
Burp Suite su ePO, che ha provocato i seguenti problemi:
- SSL memorizzabile nella cache Pagina trovata
La maggior parte dei browser Web è configurata per impostazione predefinita per memorizzare nella cache le pagine dell'utente durante l'utilizzo. Questa azione memorizza nella cache anche le pagine SSL. Si sconsiglia di abilitare il browser web per salvare le informazioni SSL. Queste informazioni potrebbero essere compromesse quando esiste una vulnerabilità.
- Eccessivamente permissivo CORS Access Policy
Cross-Origin Resource Sharing (CORS) è un meccanismo che consente ai siti Web di richiedere risorse da siti esterni. Questa azione evita la necessità di duplicarli. Quando concedono l'accesso a siti esterni, potrebbero anche eseguire diverse azioni sul sito di concessione ed eseguire script su di essi. Pertanto, è importante non concedere l'accesso a nessun sito, ma solo a siti attendibili.
- Sono state rilevate suite di crittografia SHA-1
Il server supporta le suite di crittografia SHA-1. Il NIST ha ufficialmente deprecato SHA-1 nel 2011, ma molte applicazioni fanno ancora affidamento su di esso.
- Collegamento di terze parti non sicuro (target="_blank")
L'attributo target="_blank" viene aggiunto agli elementi del collegamento per aprire il collegamento in una nuova finestra. I tag di collegamento di questo tipo (ad esempio, con l'attributo target="_blank" ) espongono parti dell'oggetto window della pagina originale alla pagina collegata tramite l'oggetto window.opener. Queste informazioni possono essere sfruttate per attacchi di phishing se la pagina collegata è dannosa.
- Stringa di connessione al database divulgata:
una stringa di connessione al database specifica le informazioni su un'origine dati e il mezzo per connettersi ad essa. Nelle applicazioni Web, le stringhe di connessione vengono utilizzate dal livello dell'applicazione per connettersi al database posteriore utilizzato per l'archiviazione dei dati dell'applicazione. Vengono letti dai file di configurazione lato server o inseriti nel codice sorgente dell'applicazione.
Ricerca e conclusioni Il team di ingegneri di ePO ha esaminato questi risultati e determinato quanto segue:
- SSL memorizzabile nella cache Pagina trovata
Questo rapporto è un falso positivo. ePO oggi imposta le seguenti intestazioni per disabilitare la memorizzazione nella cache per quasi tutte le pagine di ePO. I file JS statici che non contengono dati sensibili non avrebbero queste intestazioni impostate in base alla progettazione per migliorare le prestazioni.
- Policy di accesso CORS eccessivamente permissiva
Questo rapporto è un falso positivo. ePO non imposta alcuna intestazione CORS oggi per consentire l'accesso ad altri domini. Se non sono impostate intestazioni, è sicuro per impostazione predefinita. Ad esempio, i browser non consentirebbero ad altri siti Web di dominio di accedere alle risorse da ePO.
- Sono state rilevate suite di crittografia SHA-1
Confermiamo che ePO abilita alcune suite di crittografia SHA-1. Questa azione è diversa dall'algoritmo di firma utilizzato nei certificati ePO. Nei certificati ePO, non supportiamo SHA-1. ePO si affida ai provider di crittografia certificati FIPS sottostanti per scegliere le suite di crittografia più efficaci durante le connessioni TLS. Abbiamo dovuto mantenere alcune delle vecchie, ma ancora sicure, cifrature che la modalità FIPS consente di supportare tutti i possibili aggiornamenti di ePO per i nostri clienti. Valutiamo il nostro elenco di suite di crittografia durante ogni nuova versione di ePO e apportiamo miglioramenti di conseguenza senza danneggiare i clienti esistenti. Le suite di crittografia SHA-1 verranno disabilitate nelle versioni future di ePO.
- Collegamento di terze parti non sicuro (target="_blank")
ePO non collega alcun target fornito dall'utente o non attendibile in questo modo, pertanto non consideriamo questo rapporto un problema. Tutti i collegamenti esterni aggiunti da ePO sono tutti domini attendibili per impostazione predefinita (esempio: *.trellix.com).
- Stringa di connessione al database divulgata
Abbiamo esaminato questo risultato e non ci sono perdite di informazioni relative al database. Un utente ePO autenticato sulla console può visualizzare informazioni come il nome utente, se l'utente dispone delle autorizzazioni appropriate per la funzione ePO corrispondente.