针对 ePO 运行了
Burp Suite 扫描,这会导致以下问题:
- 找到可缓存的 SSL 页面
大多数 web 浏览器都在默认情况下配置为在使用期间缓存用户的页面。此操作同时缓存 SSL 页面。 我们建议您启用 Web 浏览器以保存任何 SSL 信息。 如果存在漏洞,则此信息可能会受损。
- 过度许可 CORS 访问策略
跨来源资源共享(CORS)是一种允许网站从外部网站请求资源的机制。此操作无需复制它们。 授予外部站点访问权限时,他们也可能在授权站点上执行若干操作,并运行这些站点的脚本。 因此,重要的是不授予对任意站点的访问权限,而仅授予对受信任站点的访问权限。
- 已检测到 sha-1 密码套件
服务器支持 SHA-1 密码套件。NIST 在 2011 年已正式弃用 SHA-1,但许多应用程序仍依赖它。
- 不安全的第三方链接(目标 = "_blank")
Target = "_blank" 属性将添加到 link 元素中,以使链接在新窗口中打开。此类链接标记(例如,使用 target="_blank" 属性)会通过 window .opener 对象将原始页面的部分窗口对象公开给链接页面。如果链接的页面是恶意的,则这些信息可能会受到网络钓鱼攻击的利用。
- 数据库连接字符串已泄露:
数据库连接字符串指定有关数据来源的信息及其连接到方法。 在网络应用程序中,应用程序层使用连接字符串连接到用于存储应用程序数据背面数据库。 它们从服务器端配置文件读取或硬编码为应用程序源代码。
研究和结论
EPO 工程团队已查看了这些发现并确定了以下结果:
- 找到可缓存的 SSL 页面
此报告为误报。ePO 会将以下标头设置为立即禁用几乎所有 ePO 页面的缓存。不包含任何敏感数据的静态 JS 文件不会按设计设置这些标题,以提高性能。
- 过于许可的 CORS 访问策略
此报告为误报。ePO 目前未设置任何 CORS 标头以允许访问任何其他域。如果未设置标题,则默认情况下其为安全。 例如,浏览器不允许任何其他域网站访问 ePO 的资源。
- 已检测到 sha-1 密码套件
我们确认 ePO 确实启用了某些 SHA-1 密码套件。此操作与 ePO 证书中使用的签名算法不同。 在 ePO 证书中,我们不支持 SHA-1。ePO 依赖于基础 FIPS 认证加密提供程序,以便在 TLS 连接期间选择更强的密码套件。我们虽然保留部分旧密码,但是仍安全,但 FIPS 模式允许为客户支持所有可能的 ePO 升级。 每次新 ePO 版本期间,我们都会评估我们的加密套件列表并相应地进行增强,而不会破坏任何现有客户。 SHA-1 加密套件将在将来的 ePO 版本中禁用。
- 不安全的第三方链接( target="_blank" )
ePO 不会以这种方式链接任何用户提供或不受信任的目标,因此我们不会认为此报告是一个问题。EPO 添加的所有外部链接均由默认受信任域(例如: *.trellix.com )所有。
- 数据库连接字符串已泄露
我们已查看此查找,并且没有与数据库相关的信息泄漏。通过身份验证的 ePO 用户在控制台上可以查看用户名等信息,如果用户具有相应 ePO 功能的相应权限。