Segurança da aplicação e sua importância

Dependência da Log4j (CVE-2021-44228)

Gravidade: Crítica

Uma vulnerabilidade na biblioteca Apache Log4j permite ataques de execução remota de código não autorizados.

Solução: A dependência da biblioteca Log4j foi completamente removida.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6119.

Observação: A biblioteca Log4j é necessária caso você tiver habilitado o RSA SecurID como um autenticador para o recurso de MFA do ADSelfService Plus. Para mais detalhes, consulte esta publicação.

Exposição do usuário de domínio (CVE-2021-20147)

Gravidade: Média

Esta vulnerabilidade no processo ChangePasswordAPI permite que um invasor remoto não autenticado determine se um usuário de domínio do Windows existe.

Solução: A dependência da biblioteca Log4j foi completamente removida.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6116.

Exposição da política de senhas de domínio (CVE-2021-20148)

Gravidade: Média

Quando o ADSelfService Plus é configurado com vários domínios do Windows, um usuário de um domínio pode obter a política de senhas para outro domínio autenticando-se no serviço e enviando uma solicitação especificando o arquivo de política de senhas do outro domínio.

Solução: O acesso à política de senhas de domínio HTML agora foi restrito para todos os usuários.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6116.

Contorno (bypass) da autenticação (CVE-2021-40539)

Gravidade: Alta

Essa vulnerabilidade pode levar a um contorno da autenticação, afetando URLs da API REST. Isso pode levar à tomada de controle da máquina.

Solução: A validação da API foi fortalecida e APIs inseguras foram removidas.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6114.

Injeção de MIME por e-mail (CVE-2021-37420)

Gravidade: Crítica

Essa vulnerabilidade permite que invasores não autenticados enviem e-mails sobre qualquer conteúdo para usuários do domínio, enviando solicitações especialmente criadas para o endpoint “/RestAPI/PasswordSelfServiceAPI”.

Solução: Os dados enviados para o parâmetro “ACTION_TO_PERFORM” são validados em relação a uma lista de permissões definida de ações aceitas e ações desconhecidas são bloqueadas.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6112.

Injeção de SQL booleana (CVE-2021-37422)

Gravidade: Alta

Essa vulnerabilidade permite que ataques de injeção de SQL booleano no banco de dados Oracle sejam realizados adicionando uma entrada de usuário não higienizada na consulta SQL que vincula a conta ao banco de dados manualmente. A injeção pode ser seguida pela exfiltração de informações armazenadas no banco de dados.

Solução: Os caracteres especiais são devidamente higienizados antes que a string seja adicionada à consulta SQL.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6112.

Tomada da conta por meio da criação de conta de máquina (CVE-2021-37424)

Gravidade: Alta

Essa vulnerabilidade pode levar à tomada da conta do administrador de domínio ao explorar o código do programa do produto para remover espaços em branco iniciais no campo de nome de usuário. Um invasor pode criar uma conta de máquina com o nome de usuário “Administrador” e utilizá-la para efetuar o login no ADSelfService Plus. Com o espaço em branco inicial removido, o invasor é conectado como “Administrador”, que é a conta de administrador do domínio. Em seguida, o invasor pode alterar as informações de registro salvas no produto, alterar a senha da conta do administrador de domínio e comprometer o domínio do AD.

Solução: Os caracteres de espaço em branco iniciais e finais não devem ser removidos dos nomes de usuário fornecidos. Se o texto for utilizado no filtro de pesquisa LDAP, os caracteres de espaço inicial e final deverão ser codificados corretamente.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6112.

Ataque de falsificação de solicitação do lado do servidor (SSRF) no ambiente de alta disponibilidade (CVE-2021-37419)

Gravidade: Alta

Esta vulnerabilidade permite que invasores realizem um ataque de SSRF enviando solicitações POST do servidor primário do ADSelfService Plus na configuração de alta disponibilidade para o endpoint /servlet/ADSHACluster sem autenticação. Parâmetros também podem ser injetados no corpo da solicitação POST.

Solução: Os dados fornecidos nos parâmetros JSON haAuthKey e MASTER_SERVER_URL devem ser devidamente higienizados.

O parâmetro MASTER_SERVER_URL deve ser validado em uma lista de permissões ou os endpoints vulneráveis devem ser restritos apenas a usuários autorizados.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6112.

Problema de tomada de conta (CVE-2021-37927)

Gravidade: Alta

Essa vulnerabilidade permite que invasores interceptem o valor do atributo samlResponse retornado pelo Provedor de Identidade durante logins SSO SAML, modifiquem o ID do e-mail fornecido no campo NameId e assumam o controle de uma conta de usuário sem a assinatura.

Solução: Verificação de assinatura SAML forçada.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6110.

Autenticação de código remoto usando injeção do PowerShell (CVE-2021-33055)

Gravidade: Alta

Uma vulnerabilidade que explora discrepâncias na codificação e decodificação do caractere de aspas especiais nos parâmetros de entrada do usuário para realizar a execução remota de código autenticado e não autenticado por meio da injeção do PowerShell.

Solução: Codificar completamente todos os valores de parâmetros para a base64 antes de passá-los para o PowerShell.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6105.

Vulnerabilidade de contorno de CAPTCHA (CVE-2021-37417)

Gravidade: Média

Uma vulnerabilidade que permite que os usuários contornem o CAPTCHA na página de login do ADSelfServie Plus usando o parâmetro EXCLUDE_CAPTCHA na URL /j_security_check, o que pode levar a ataques de força bruta.

Solução: Remover o sinalizador EXCLUDE_CAPTCHA para evitar que ele seja processado pelo parâmetro.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6104.

Ataque de Cross-Site-Scripting (CVE-2021-27956)

Gravidade: Alta

Uma vulnerabilidade rara que pode levar a ataques de Cross-Site Scripting no campo de endereço de e-mail utilizado no recurso de pesquisa de funcionários.

Solução:.

• Todo o conteúdo controlado pelo usuário é codificado antes de ser refletido de volta aos usuários.
• < deve ser substituído por < e o mesmo para outros caracteres como ", >, etc.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6104.

Ataque refletido de Cross-Site-Scripting (CVE-2021-37416)

Gravidade: Média

Essa vulnerabilidade torna o ADSelfService Plus propenso a ataques refletidos de Cross-Site-Scripting utilizando o parâmetro single_signout no endpoint /LoadFrame, o que pode levar à tomada de controle da conta da vítima.

Solução: Caracteres especiais são higienizados antes que a string seja adicionada ao código HTML.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6104.

Exposição de informações de aplicações de banco de dados (CVE-2021-31874)

Gravidade: Alta

Uma vulnerabilidade que, em casos raros, permite que invasores exponham informações sobre a aplicação de banco de dados configurada para sincronização de senhas, explorando o parâmetro HOST_NAME enviado ao vincular contas a esse banco de dados.

Solução: O parâmetro HOST_NAME fornecido pelo usuário não é processado pela aplicação. Em vez disso, o valor de HOST_NAME fornecido pelo administrador durante a configuração do aplicação é utilizado.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6104.

Contorno da restrição de acesso ao portal de administração utilizando o cabeçalho X-Forwarded-For (CVE-2021-37421)

Gravidade: Média

O ADSelfService Plus permite que os administradores de TI restrinjam o acesso ao portal de administração com base em endereços IP. Um invasor pode pular este mecanismo de segurança usando o cabeçalho “X-Forwarded-For” definido como o endereço IP da lista de permissões.

Solução: O conteúdo do cabeçalho X-Forwarded-For não deve ser considerado o endereço IP de origem, pois ele pode ser modificado pelo usuário.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6104.

Execução remota de código não autenticado durante a função de alteração de senha (CVE-2021-28958)

Gravidade: Alta

Essa vulnerabilidade surge devido à higienização inadequada do caractere de aspas duplas quando a alteração da senha do usuário é realizada usando scripts do PowerShell, tornando-os propensos à injeção e execução remota de código.

Solução: Caracteres especiais são codificados corretamente antes que a sequência de caracteres seja adicionada ao script do PowerShell.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6102.

Chaves de cifragem fixas (CVE-2019-7161)

Gravidade: Alta

Essa vulnerabilidade surgiu quando o ADSelfService Plus utilizou chaves de criptografia codificadas para proteger informações, oferecendo a um invasor a capacidade de decifrar quaisquer dados protegidos.

Solução:

• Atualização do Mickeylite Framework.
• Chaves secretas ADS específicas da instância adicionadas.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6100.

Autorização indevida (ZVE-2020-4164)

Gravidade: Média

Essa vulnerabilidade causou autorização indevida de ações do usuário final.

Solução: A autorização adequada foi fornecida para ações do usuário final.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6100.

Execução remota de código não autenticada (CVE-2020-11552)

Gravidade: Alta

Essa vulnerabilidade ocorre quando o produto não aplica os privilégios de usuário associados à caixa de diálogo Certificado do Windows corretamente. Isso permite que um invasor não autenticado execute comandos remotamente com privilégios de nível de sistema no host Windows de destino.

Solução: Um site de controle personalizado foi criado para parar de exibir alertas de segurança relacionados a certificados que causaram o problema.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 6003.

Integrações de produtos da ManageEngine burlando autenticação

Gravidade: Alta

Essa vulnerabilidade permite que invasores se integrem a outros produtos da ManageEngine, ignorando a verificação de autenticação.

Solução: Chamadas não autorizadas foram restringidas.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5817.

Vulnerabilidade de execução remota de código

Gravidade: Alta

Essa vulnerabilidade permite que um invasor remoto comprometa sistemas vulneráveis. Ela existe devido à validação insuficiente da entrada fornecida pelo usuário. Um invasor remoto pode passar uma entrada especialmente criada para a aplicação e executar um código arbitrário no sistema de destino

Solução: Acesso desabilitado ao endpoint /cewolf.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5815.

Vulnerabilidade de chave de handshake previsível

Gravidade: Média

Essa vulnerabilidade permite que um invasor remoto preveja a chave de handshake e comprometa sistemas vulneráveis.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5815.

Contorno da auenticação FIDO2 com o ADSelfService Plus

Gravidade: Alta

Esta vulnerabilidade permite que um invasor obtenha acesso ao Explorador de Arquivos de um computador utilizando o agente de login do ADSelfService Plus usando certificados SSL autoassinados.

Solução: A vulnerabilidade foi resolvida habilitando o sinalizador RESTRICT_BAD_CERT por padrão.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5814.

Vulnerabilidade XSS devido à API da aplicação móvel

Gravidade: Média

Essa vulnerabilidade permite que um invasor explore as conexões que os usuários têm com aplicações inseguras. Um invasor pode se passar por um usuário, realizar quaisquer ações que o usuário possa efetuar e acessar quaisquer dados do usuário.

Solução: O conteúdo malicioso refletido é evitado (ignorado ou removido) para que não seja analisado como HTML.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5708.

Vulnerabilidade da SSRF

Gravidade: Média

A falsificação de solicitação do lado do servidor (também conhecida como SSRF) é uma vulnerabilidade que permite que um invasor induza uma aplicação do lado do servidor a enviar solicitações HTTP para um domínio arbitrário escolhido pelo invasor. Isso pode resultar em acesso a dados dentro da empresa, seja na próprio aplicação insegura ou em outros sistemas de backend com os quais a aplicação se comunica.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5703.

Vulnerabilidade de injeção em agentes de login do Windows e Linux

Gravidade: Alta

Essa vulnerabilidade permite que o invasor explore o software do cliente do ADSelfService Plus e obtenha privilégios de SISTEMA em um computador Windows ou Linux tendo acesso físico a ele.

Solução:

• Todos os elementos que não são necessários no Internet Explorer são bloqueados.
• Todos os serviços são executados como um usuário local limitado.
• O conteúdo é hospedado localmente e APIs web são utilizadas para transmitir dados.

Uma atualização de segurança foi lançada para corrigir essa vulnerabilidade.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5802.

Vulnerabilidade de entidades externas XML

Gravidade: Alta

A injeção de entidades externas XML (também conhecida como XXE) é uma vulnerabilidade de segurança cibernética que permite que um invasor intervenha no processamento de dados XML de uma aplicação. Ela também permite que um invasor veja arquivos no sistema de arquivos do servidor de aplicações e se comunique com qualquer backend ou sistema externo acessível à aplicação.

Solução: Os arquivos JAR vulneráveis foram removidos e atualizados com os arquivos apropriados. O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5701.

Sinalizador HttpOnly faltante nos cookies

Gravidade: Baixa

A ausência do sinalizador HttpOnly nos cookies aumenta o risco de um script do lado do cliente acessar cookies, o que pode levar a um ataque de falsificação de solicitação entre sites (CSRF).

Solução: O ADSelfService Plus inclui o sinalizador HttpOnly nos cookies. Quando um script do lado do cliente tenta ler o cookie, o navegador retorna uma string vazia como resultado. O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5520, em 31 de maio de 2018.

Exploração de métodos HTTP não utilizados

Gravidade: Baixa

Métodos HTTP como GET, HEAD, TRACE, PUT, DELETE e OPTIONS estão sujeitos a ataques e representam ameaças à segurança de aplicações web. Por exemplo, TRACE é utilizado para ecoar uma string enviada ao servidor web de volta para o cliente. Embora o TRACE tenha sido criado inicialmente para fins de depuração, ele pode ser utilizado para montar um ataque de rastreamento entre sites (XST) contra servidores.

Solução: O ADSelfService Plus bloqueia métodos HTTP não utilizados, como GET, HEAD, DELETE TRACE e OPTIONS.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5517, em 17 de abril de 2018.

Vulnerabilidades nas versões mais antigas do jQuery

Gravidade: Alta

Versões anteriores do jQuery contêm vulnerabilidades de segurança.

Solução: O ADSelfService Plus atualizou o pacote jQuery de 1.8.1 para 1.12.2 na compilação 5517, em 17 de abril de 2018.

Vulnerabilidade de upload de arquivos irrestrito

Gravidade: Alta

Nesse tipo de vulnerabilidade, um invasor carrega uma solicitação POST multipartes ou de dados de formulário com um nome de arquivo ou tipo MIME especialmente criado, levando à execução de scripts entre sites (XSS) e execução de código malicioso no lado do servidor.

Solução: O ADSelfService Plus utiliza um filtro de lista de permissões (whitelist) durante o upload de arquivos. Ele aceita apenas os formatos PNG, HTML, CSV, PDF, XLS, XLXS e CSVDE.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5516, em 29 de março de 2018.

Vulnerabilidade de falsificação de solicitação do lado do servidor

Gravidade: Alta

Em um ataque de falsificação de solicitação do lado do servidor (SSRF), um invasor modifica uma URL existente ou fornece uma nova para ser enviada ao servidor. Quando essa solicitação de URL manipulada é processada pelo servidor, o servidor lê ou envia dados para a URL manipulada. Normalmente, o invasor tem como alvo o hash NTLM de contas específicas para acessar os recursos vinculados a essa conta.

Solução: O ADSelfService Plus atualizou o arquivo dd-plist.jar file (local padrão: Diretório de instalação\lib\dd-plist.jar) na compilação 5516, em 29 de março de 2018.

Vulnerabilidade XSS refletida

Gravidade: Alta

A vulnerabilidade XSS refletida é projetada especificamente para atacar sites que um usuário está visitando. Quando um usuário clica em um link malicioso em um site confiável, um script é injetado na solicitação, que trafega para o servidor e é refletido de tal forma que a resposta HTTP inclua o script malicioso. O navegador executa o script malicioso porque ele veio de um servidor “confiável”.

Solução: O ADSelfService Plus limpa o script de caracteres como <, >, &, ' e " presentes nos parâmetros de consulta.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5516, em 29 de março de 2018.

Contornar validações do lado do cliente

Gravidade: Alta

Ao explorar esta vulnerabilidade, um invasor contorna a validação de entrada do lado do cliente para conteúdo direcionado, por exemplo, campos de senhas.

Os invasores geralmente contornam as validações de entrada de uma aplicação web, removendo o JavaScript usando uma ferramenta de desenvolvedor web ou manipulando a solicitação HTTP (usando uma ferramenta de proxy) de maneira que ela não passe pelo navegador.

Solução: Não há necessidade de correção para essa vulnerabilidade. O ADSelfService Plus é imune a essa vulnerabilidade, pois pratica validação tanto do lado do cliente quanto do servidor.

Vazamento de informações por meio de comentários

Gravidade: Baixa

O vazamento de informações ocorre quando uma aplicação divulga dados confidenciais involuntariamente, como detalhes técnicos de uma rede ou aplicação , ou dados específicos do usuário. Dependendo dos dados vazados, eles podem ser usados por um invasor para explorar a aplicação web alvo, sua rede de hospedagem ou os usuários da aplicação.

Solução: Os programadores do ADSelfService Plus certificaram-se de remover informações confidenciais que podem ter sido divulgadas utilizando comentários no código-fonte.

Impressão digital do servidor web

Gravidade: Baixa

Explorar as vulnerabilidades de segurança de qualquer aplicação é mais fácil quando os invasores conhecem a plataforma na qual a aplicação web foi criada. Embora os cabeçalhos HTTP sejam utilizados principalmente para fornecer informações para o tratamento eficaz de solicitações e respostas, eles também podem ser explorados por invasores para identificar o servidor web usado e sua versão.

Solução: Nenhuma correção é necessária para esta vulnerabilidade. O ADSelfService Plus é imune a essa vulnerabilidade, pois adiciona um rótulo (tag) de servidor no arquivo server.xml (local padrão: Diretório de instalação/conf) para ocultar o servidor web real.

Exemplo:

Logins de sessão simultâneos

Gravidade: Média

Uma aplicação projetada para aceitar logins simultâneos pode levar um usuário mal-intencionado a inserir credenciais válidas ao mesmo tempo que um usuário legítimo para se autenticar na rede. Isso pode levar a problemas de segurança na organização, como uso indevido de informações pessoais do usuário para realizar ações não autorizadas.

Solução: O recurso Negar login simultâneo do ADSelfService Plus impede que os usuários executem várias sessões simultaneamente no produto.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5517, em abril de 2018.

Vulnerabilidades de scripts entre sites (XSS)

Gravidade: Alta

Ataques de XSS envolvem um invasor injetando um script do lado do cliente na aplicação de destino. O navegador do usuário final não tem como saber que o script não é confiável e executará o script malicioso.

Solução: Remover o # no início de X-XSS-Protection no arquivo security_params.xml (local padrão: Diretório de instalação/conf) e defini-lo como 1. A maioria dos navegadores reconhece esse cabeçalho e tomará as medidas necessárias para evitar ataques de XSS ao vê-lo.

Veja abaixo como ficará o cabeçalho após a correção:

X-XSS-Protection=1

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 4500.

Vulnerabilidade de falsificação de solicitações entre sites (CSRF)

Gravidade: Alta

A CSRF é um ataque que engana um navegador web para executar um comando indesejado em uma aplicação na qual um usuário está conectado. Isso é realizado quando um usuário clica inadvertidamente em um link malicioso em um site legítimo. Essa ação envia uma solicitação HTTP que o usuário não pretendia gerar, incluindo um cabeçalho de cookie que contém o ID de sessão do usuário. Além disso, como a aplicação autentica o usuário no momento do ataque, é impossível que ele diferencie entre solicitações legítimas e falsificadas.

Solução: O ADSelfService Plus envia cada solicitação com um token. Isso afasta a execução de ações que não fornecem os tokens de autenticação necessários.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Cross-frame scripting (XSF)/Clickjacking

Gravidade: Alta

No ataque de cross-frame scripting, um usuário é induzido a clicar em algo diferente do que ele pensava estar clicando, fazendo-o revelar informações confidenciais ou executar um comando não intencional inadvertidamente. Normalmente, o cross-frame scripting ocorre quando um invasor incorpora iFrames maliciosos em um site legítimo para enganar os usuários e fazê-los inserir suas informações. Quando um usuário insere suas credenciais no site legítimo no iFrame, o keylogger JavaScript malicioso registra as teclas digitadas pela vítima e as envia ao servidor do invasor.

Solução: Remover o # no início de x-frame-optionsno arquivo security_params.xml (local padrão: Diretório de instalação/conf) e defini-lo como SAMEORIGIN. Esta correção não permite que outros sites carreguem o ADSelfService Plus nos seus iFrames.

Veja abaixo como ficará a solicitação do cabeçalho após a correção:

x-frame-options=SAMEORIGIN

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Política de cache ou política de cache do servidor fraca

Gravidade: Média

Uma página do navegador armazena o conteúdo em cache na máquina do usuário para que ele não precise baixá-lo toda vez que o usuário abrir a página. Mesmo em canais SSL seguros, dados confidenciais podem ser armazenados por proxies e terminadores SSL. Se um invasor explorar o cache do navegador, dados confidenciais, como detalhes de cartão de crédito e nomes de usuário, estarão em risco.

Solução: Cada página HTTP no ADSelfService Plus é definida com cabeçalhos de resposta Cache-Control, Pragma e Expires para evitar o armazenamento de quaisquer dados em cache. Para habilitar essa correção, você terá que remover o # no início de cache-control=no-cache, no-store no arquivo security_params.xml (local padrão: Diretório de instalação/conf).

Veja abaixo como ficará a solicitação do cabeçalho após a correção:

cache-control=no-cache, no-store

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

MIME-SNIFFING

Gravidade: Baixa

Quando não há metadados suficientes para determinar o tipo de conteúdo dos dados, a maioria dos navegadores, principalmente o Microsoft Internet Explorer, tenta determinar o tipo de conteúdo correto com uma técnica chamada detecção de MIME (também conhecida como tipo de mídia). No entanto, os invasores exploram essa técnica manipulando o navegador para interpretar dados de uma maneira que permita operações inesperadas, como scripts entre sites.

Solução: Remover o # no início de x-content-typee defini-lo como nosniff no arquivo security_params.xml.

Veja abaixo como ficará a solicitação do cabeçalho após a correção:

x-content-type=nosniff

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Compartilhamento de recursos de origem cruzada (CORS) curinga inseguro

Gravidade: Alta

O compartilhamento de recursos de origem cruzada (CORS) é um padrão que define um conjunto de cabeçalhos que permitem que um servidor e navegador determinem quais solicitações de recursos entre domínios são permitidas e quais não são. A desvantagem desse padrão é que ele falha ao validar/colocar os solicitantes na lista de permissões quando o comando access-control-allow-originestá definido como ‘*’. Este símbolo é um curinga e definir o controle de acesso como * essencialmente permite que qualquer domínio na web acesse os recursos desse site.

Solução: Definir o access-control-allow-origincomo um nome de domínio específico para corrigir a vulnerabilidade CORS. O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Problema de preenchimento automático do navegador

Gravidade: Baixa

A maioria dos navegadores realiza uma cópia em cache das credenciais de um usuário que são inseridas em formulários HTML. Esta função armazena credenciais na máquina do usuário, permitindo uma resposta mais rápida na próxima vez que o usuário tentar acessar a aplicação. Essa vulnerabilidade pode ser explorada por um invasor com acesso local, permitindo que ele veja senhas em texto simples no cache do navegador.

Solução: O ADSelfService Plus não permite que o recurso de preenchimento automático seja usado nos seus campos de senha.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Faltam sinalizadores HTTPOnly e secure nos cookies de sessão

Gravidade: Baixa

Se um cookie de sessão não tiver um sinalizador HttpOnly, ele poderá ser acessado via JavaScript. Basicamente, isso significa que um ataque de XSS pode provocar o roubo de cookies, o que pode levar à tomada da conta ou sessão.

Solução: Habilite o SSL no ADSelfService Plus e defina o sinalizador HTTPOnly e o sinalizador secure para cookies de sessão. Isso faz com que o navegador retorne uma string vazia como resultado quando um script do lado do cliente tenta ler cookies. O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Vulnerabilidades SHA1withRSA

Gravidade: Alta

O uso do SHA1WithRSA causa uma vulnerabilidade de colisão, permitindo que um invasor crie duas strings de entrada com o mesmo hash SHA-1 com menos poder computacional do que seria necessário para uma boa função de hash.

Solução: O ADSelfService Plus utiliza SHA256WithRSAENCRYPTION por padrão para superar essa vulnerabilidade de segurança.

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Fixação da sessão

Gravidade: Alta

Nessa vulnerabilidade, um invasor tem como alvo as limitações do gerenciamento de ID de sessão da aplicação. Quando o usuário malicioso visita a aplicação, ele recebe um ID de sessão. O invasor anota esse ID de sessão e deixa o navegador aberto. Caso outro usuário na mesma máquina se autenticar na aplicação sem fechar o navegador, ele será conectado com o ID de sessão definido pelo invasor. O invasor pode usar essas informações para obter acesso completo à conta da aplicação do usuário até que a sessão termine. Isso pode levar a possíveis problemas de segurança, uma vez que o invasor pode usar esse acesso para alterar a senha do usuário.

Solução: O ADSelfService Plus cria IDs de sessão para cada autenticação bem-sucedida (ou seja, para cada nova sessão).

O ADSelfService Plus corrigiu essa vulnerabilidade na compilação 5300, em abril de 2015.

Injeção de SQL utilizando build de framework

Gravidade: Alta

A injeção de SQL ocorre quando um invasor adiciona ou injeta código malicioso em um comando SQL executado pela aplicação web. Uma injeção de SQL bem-sucedida permite que invasores falsifiquem a identidade de um usuário, adulterem dados existentes e até mesmo obtenham controle total sobre o servidor da aplicação web.

Solução: As operações de banco de dados para o ADSelfService Plus são gerenciadas utilizando a nossa estrutura interna para evitar injeções de SQL e outros ataques similares.

Codificação SSL fraca

Gravidade: Alta

Cada aplicação depende da proteção de três parâmetros, conhecidos coletivamente como um conjunto de cifras: algoritmos de autenticação, criptografia e hash. Uma aplicação que se baseia em SSL/TLS para transmissões de dados com cifras fracas deixa-a desprotegida e permite que um invasor roube ou manipule dados confidenciais.

Solução:Adicione as cifras fortes fornecidas abaixo ao ADSelfService Plus no arquivo server.xml (local padrão: Diretório de instalação/conf).