Embed Size (px)
Citation preview
Avaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0por Sarah Timmons e Brock Bland, 8 de dezembro de 2015
White PaperSolutions Business Manager
Índice página
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Medidas de segurança do Solutions Business Manager . . . . . . . . . . . . . . . . . . . . 1Resultados do teste de segurança de aplicativos Web para SBM 11 .0 . . . . . . . . 3
1www.microfocus.com
Introdução
Os aplicativos que fazem uso da Internet estão sempre vulneráveis a ataques por vários usuários mal-intencionados, robôs abusivos e crawlers que podem explorar falhas no modelo de segurança de dados para obter acesso não autorizado a dados importantes . O Micro Focus® Solutions Business Manager (SBM) é verificado quanto à segurança dos aplicativos Web como parte do processo de certificação em cada lançamento, e é completamente testado para validar a segurança dos dados corporativos armazenados no banco de dados .
A Micro Focus entende que qualquer vulnerabilidade detectada durante esses testes pode ser explorada para obter acesso a dados corporativos confidenciais e, em última análise, levar a perdas financeiras. Nossas organizações de desenvolvimento e de garantia de qualidade esforçam-se para expor e resolver esses tipos de vulnerabilidades potenciais durante cada ciclo de testes. A Micro Focus leva a segurança a sério. Nós nos esforçamos para melhorar agressivamente o SBM com o objetivo de protegê-lo contra quaisquer novas vulnerabilidades que sejam descobertas .
Quem deve ler este documento?Este documento destina-se a administradores de sistemas ou outros interessados em entender as medidas de segurança existentes no SBM 11.0 e em analisar os últimos resultados de verificação de aplicativos Web de segurança.
Medidas de segurança do Solutions Business Manager
A Micro Focus aplica uma abordagem de várias camadas para a segurança no SBM, incorporando as melhores práticas para a prevenção de violações de segurança, bem como para a garantia da integridade e da confidencialidade dos dados.
Configuração de servidores e bancos de dadosO SBM Configurator fornece um mecanismo fácil para implantar os vários componentes de banco de dados e aplicativos do SBM em vários servidores . Isso serve para minimizar a “área de ataque” . Por exemplo, dados atualizados por usuários podem ser armazenados em um servidor, dados usados para criar e descrever aplicativos de processo e outros artefatos de design armazenados em outro, e dados de configuração e administrativos armazenados em outra máquina . Os administradores podem restringir o acesso a esses servidores de forma apropriada, tornando muito mais difícil para um inimigo explorar o sistema simplesmente invadindo um servidor ou uma máquina física .
A Micro Focus leva a segurança a sério. Nós nos esforçamos para melhorar agressivamente o SBM com o objetivo de protegê-lo contra quaisquer novas vulnerabilidades que sejam descobertas.
2
White PaperAvaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0
Criptografia de dados em trânsitoOs dados são mais vulneráveis ao acesso não autorizado quando estão viajando através da Internet ou dentro de redes. Por isso, o SBM Configurator fornece o mecanismo para configurar os servidores de aplicativos de modo que eles utilizem HTTP seguro (HTTPS) e SSL (Secure Socket Layer) para criptografar, autenticar e garantir a integridade dos dados . Isso pode ser utilizado para interações com usuários finais, comunicação entre componentes, comunicação com sistemas de terceiros e infraestrutura, como servidores LDAP e bancos de dados relacionais .
Criptografia de dados em inatividadeOs dados que residem em sistemas de armazenamento e mídias apresentam sérios problemas de segurança no que diz respeito à proteção de dados corporativos e à privacidade dos dados . O SBM tem duas vertentes para os dados em inatividade: dados armazenados em um banco de dados relacional e dados armazenados no sistema de arquivos .
Há dois fatores para proteger dados no banco de dados relacional. O primeiro fator é restringir o acesso aos dados através de permissões para os bancos de dados usados pelo SBM . Isso é regido pelas contas de usuário do DBMS ou pelas contas de domínio do Windows que receberam acesso aos bancos de dados . O segundo fator é que os dados nos bancos de dados podem ser criptografados pelo DBMS para uma camada adicional de segurança .
Os dados armazenados no sistema de arquivos, como informações de configuração e conexão, também devem ser protegidos . O SBM criptografa as credenciais usadas para se conectar aos seus vários bancos de dados usando um algoritmo de criptografia de DES triplo com chaves de 184 bits. As informações usadas para se conectar aos provedores de identidade com a finalidade de Single Sign-On (SSO) podem ser consideradas sensíveis e, por isso, o SBM fornece a opção de criptografar essas informações. O SSO usa chaves de 256 bits com Blowfish, AES ou 3DES.
Autenticação e gerenciamento de sessõesIndependentemente do método de acesso (browser da Web, aplicativos para dispositivos móveis ou aplicativos da área de serviço), todos os acessos de usuário passam por um processo de autenticação. O SBM Configurator fornece várias opções para provedores de identidade, como banco de dados de usuários internos, domínio do Windows, LDAP ou outros provedores de terceiros. O gerenciamento de sessões no SBM pode ser configurado para usar cookies HTTP, NTLM ou tokens de segurança via SSO. O SBM também permite cenários mais complexos ao usar o SSO, incluindo validação contra vários provedores de identidade e autenticação de dois fatores por meio de cartões inteligentes.
Além disso, o SBM fornece controles para o gerenciamento do tempo limite de ociosidade dos tempos de vida dos tokens de sessão para tokens de segurança .
Independentemente do método de acesso (browser da Web, aplicativos para dispositivos móveis ou aplicativos da área de serviço), todos os acessos de usuário passam por um processo de autenticação. O SBM Configurator fornece várias opções para provedores de identidade, como banco de dados de usuários internos, domínio do Windows, LDAP ou outros provedores de terceiros.
3www.microfocus.com
Autorização (controle de acesso)O SBM Application Administrator fornece aos administradores a capacidade de definir permissões de usuário em níveis de função, grupo e individuais, dando aos administradores a capacidade de seguir o princípio de privilégio mínimo: permitir que os usuários tenham a menor autoridade possível necessária para realizar o trabalho . Além disso, o SBM fornece conexões SSL bidirecionais para restringir o acesso a interfaces que não são de usuário final.
Segurança de aplicativos WebO SBM oferece recursos integrados de firewall e de sanitização proprietários e de terceiros para vários tipos de ataques:
Ataques de conteúdo XML/HTML (ataques de scripts entre sites [XSS], injeções de JavaScript, injeção de SQL e boa formação)
Ataques criptográficos (ataques de negação de serviço e repetição)
Ataques de SOAP (filtragem de operações SOAP e anexos SOAP invasores)
Ataques de comunicação (análise de cabeçalho HTTP e cadeia de caracteres de consulta)
Ataques de autenticação (ataques de falsificação da solicitação entre sites [XSRF])
O SBM fornece a personalização dessa sanitização através do Application Administrator .
Além do monitoramento de conteúdo e da sanitização, o SBM fornece um firewall de aplicativos Web incluindo o ModSecurity. Ele pode ser usado para fins de monitoramento ou pode ser definido para bloquear ativamente solicitações com base em regras de segurança definidas. Essas regras de segurança são personalizáveis e permitem que os administradores adaptem a configuração de segurança de acordo com as necessidades específicas de conteúdo ou requisitos de segurança elevados. No caso de encontrar uma vulnerabilidade de segurança, também permite a aplicação virtual de patches dos sistemas no campo .
Resultados do teste de segurança de aplicativos Web para SBM 11.0
Os testes foram realizados utilizando o Burp Suite Professional v1.6.28. O Burp Web Vulnerability Scanner, uma ferramenta dentro desse suite, foi especificamente usado para verificar ativamente as solicitações de um cliente. Essa ferramenta é altamente considerada na indústria e usa a lógica de varredura orientada por feedbacks em vez de uma lista estática de possíveis vulnerabilidades .
O SBM Application Administrator fornece aos administradores a capacidade de definir permissões de usuário em níveis de função, grupo e individuais, dando aos administradores a capacidade de seguir o princípio de privilégio mínimo: permitir que os usuários tenham a menor autoridade possível necessária para realizar o trabalho.
4
White PaperAvaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0
Para o propósito desses testes, o Burp Suite monitorou as solicitações em uma instalação remota e autônoma do SBM com autenticação interna do SBM e gerenciamento de sessões SSO.
Configuração do testeO Burp Suite foi executado em uma máquina dedicada que atua como um servidor proxy monitorando as solicitações feitas através do browser da Web. Para o propósito desses testes, o Burp Suite monitorou as solicitações em uma instalação remota e autônoma do SBM com autenticação interna do SBM e gerenciamento de sessões SSO. O Burp Suite registrou as solicitações feitas através do browser, observando passivamente as vulnerabilidades detectadas ao mesmo tempo. O Burp Suite foi então usado para verificar ativamente todas as solicitações registradas com parâmetros, enviando inúmeras (centenas ou milhares) solicitações formatadas após cada solicitação verificada, mas com alterações de parâmetros que tentam expor vulnerabilidades. O SBM estava configurado para usar HTTPS para solicitações e o SSO foi habilitado. Para lidar com a variabilidade de personalizações, um conjunto de regras ModSecurity personalizado também foi implementado. Verificação testada para os seguintes tipos de ataques:
Injeção de SQL
Injeção de comandos de SO
Injeção de modelo e código no lado do servidor
Scripts entre sites refletidos e armazenados
Manipulação/passagem do caminho de arquivo
Interação externa/fora de banda
Injeção de cabeçalho HTTP
Injeção de XML/SOAP
Injeção de LDAP
Falsificação da solicitação entre sites
Abrir redirecionamento
Manipulação de cabeçalho
Problemas no nível do servidor
A Micro Focus avaliou os resultados dessas verificações, buscando solicitações com potenciais vulnerabilidades .
Casos de usoA verificação foi feita contra o que pode ser considerado o uso típico do SBM. Isso inclui:
Login no SBM
Exibição de dados de item
Exibição de relatórios
Exibição de backlogs
Exibição de atividades
5www.microfocus.com
Uma atenção especial foi colocada nas operações que armazenam ou modificam dados no sistema, incluindo:
Envio de um item
Transição de um item
Criação e modificação de um relatório
Criação de backlogs
Criação de atividades
Pesquisa de centro de trabalho
Pesquisa de área de trabalho do usuário
Atualização das informações de perfil do usuário
ConclusõesOs resultados das verificações de segurança foram avaliados. Nenhuma vulnerabilidade séria foi encontrada . Os resultados sinalizados como potenciais problemas de baixa gravidade e que deveriam ser avaliados foram analisados manualmente e determinados que não são um problema, conforme detalhado abaixo .
Os resultados das verificações de segurança foram avaliados. Nenhuma vulnerabilidade séria foi encontrada.
Área testada Resultado Additional Information Enviar, exibir, item de
transição Aprovado. Não foram encontrados problemas de
gravidade alta ou média —
Criação e execução de relatórios
Aprovado. XSS baseado em DOM falso positivo A inspeção do código confirmou que ele está sanificado corretamente. O SBM bloqueou devidamente a tentativa de XSS baseado em DOM.
Criação e execução de relatórios
Aprovado. Descoberta de cabeçalho de resposta falso positivo
A inspeção do código mostra que ele é limpo corretamente após um redirecionamento.
Modificação do perfil do usuário
Aprovado. —
Pesquisa clássica Aprovado. Falso positivo para XSS baseado em DOM
A inspeção do código mostra que os valores são sanificados. O SBM bloqueou devidamente a tentativa de XSS baseado em DOM.
Centro de trabalho Aprovado, com exceção. Encontrado um problema de XSS refletido com parâmetro do shell (consulte “Informações adicionais”)
As regras de segurança para a configuração do firewall do aplicativo Web para bloquear esta descoberta estão disponíveis na Micro Focus. Também são configuráveis pelos clientes para permitir shells personalizados.
Criação e execução de atividades
Aprovado, com exceção. Encontrado um problema de XSS refletido (consulte “Informações adicionais”)
A inspeção do código mostra que os valores são sanificados. O SBM bloqueou devidamente a tentativa de XSS baseado em DOM. As regras de segurança para a configuração do firewall do aplicativo Web para bloquear esta descoberta também estão disponíveis na Micro Focus.
Criação e execução de backlog
Aprovado, com exceção. Encontrado um problema de XSS refletido (consulte “Informações adicionais”)
O SBM bloqueou devidamente a tentativa de XSS baseado em DOM. As regras de segurança para a configuração do firewall do aplicativo Web para bloquear estas descobertas estão disponíveis na Micro Focus.
162-PB0094-002 | S | 06/17 | © 2017 Micro Focus. Todos os direitos reservados. Micro Focus e o logotipo Micro Focus, entre outros, são marcas registradas ou marcas comerciais registradas da Micro Focus ou de suas subsidiárias ou afiliadas no Reino Unido, Estados Unidos e outros países. Todas as outras marcas pertencem a seus respectivos proprietários.
Micro FocusArgentina+54 11 5258 8899
Brasil+55 11 3627 0900
Colombia+57 1 622 2766
México+52 55 5284 2700
Venezuela+58 212 267 6568
Micro FocusSede da empresaReino Unido+44 (0) 1635 565200
www.microfocus.com
Os dez principais resultados do OSWASP
www.microfocus.com
ID Área testada Resultado Additional Information A1 Injeção Nenhum problema
encontrado O SBM monitora ativamente ataques de injeção diferentes e
segue os padrões de design usados para preveni-los.
A2 Autenticação e gerenciamento de sessões quebrados
Nenhum problema encontrado
O SBM usa as melhores práticas do setor para gerenciamento de sessões, autenticação e gerenciamento de senhas.
A3 Scripts entre sites (XSS) Nenhum problema encontrado
O SBM monitora ativamente os ataques de XSS e fornece uma configuração refinada para o conteúdo permitido.
A4 Referências a objetos diretos não protegidas
Nenhum problema encontrado
Todo o acesso de objetos dentro do SBM passa por um controle de acesso centralizado para verificar a permissão do usuário.
A5 Segurança mal configurada Nenhum problema encontrado
O SBM fornece um aplicativo de configuração para facilitar a configuração das definições de segurança e oferece orientação sobre como proteger a configuração corretamente.
A6 Exposição de dados sensíveis
Nenhum problema encontrado
Os dados sensíveis armazenados pelo SBM são armazenados de forma segura em inatividade e, se configurados, em trânsito para o servidor.
A7 Falta de controle de acesso no nível da função
Nenhum problema encontrado
Todas as solicitações de dados são validadas nos níveis de cliente e servidor para garantir permissões apropriadas aos dados.
A8 Falsificação da solicitação entre sites (CSRF)
Nenhum problema encontrado
O SBM faz monitoramento ativo e redução de riscos para ataques de CSRF.
A9 Uso de componentes com vulnerabilidades conhecidas
Nenhum problema encontrado
Como parte do processo de lançamentos, os componentes de terceiros são verificados em relação às listas de vulnerabilidades e atualizados de acordo.
A10 Redirecionamentos e encaminhamentos não validados
Nenhum problema encontrado
O SBM faz uma verificação rigorosa dos redirecionamentos internos e externos.
