Embed Size (px)
Citation preview
Valutazione della sicurezza delle applicazioni Web per Micro Focus Solutions Business Manager 11.0di Sarah Timmons e Brock Bland, 8 dicembre 2015
White paperSolutions Business Manager
Sommario pagina
Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Misure di protezione della sicurezza di Solutions Business Manager . . . . . . . . 1
Risultati dei test di sicurezza delle applicazioni Web per SBM 11 .0 . . . . . . . . . . 3
1www.microfocus.com
Introduzione
Le applicazioni Internet sono sempre più vulnerabili ad attacchi da parte di vari utenti malintenzionati, bot illegali e motori di ricerca che possono sfruttare i punti deboli nel modello di sicurezza dei dati per ottenere l’accesso non autorizzato ai dati più importanti . Micro Focus® Solutions Business Manager (SBM) è stato analizzato per la sicurezza delle applicazioni Web come parte del processo di certificazione di ogni release e sono stati eseguiti test completi per convalidare la sicurezza dei dati aziendali archiviati nel database .
Micro Focus è a conoscenza che qualsiasi vulnerabilità rilevata durante questi test possa essere sfruttata per ottenere l’accesso a dati aziendali sensibili portando a conseguenti perdite finanziarie. I nostri team di sviluppo e di controllo della qualità fanno tutto il possibile per rivelare e risolvere questi tipi di potenziali vulnerabilità durante ogni ciclo di test . Micro Focus prende la sicurezza in seria considerazione . Ci sforziamo di migliorare SBM sempre di più per la protezione contro tutte le nuove vulnerabilità che vengono scoperte .
A chi è destinato questo white paperQuesto white paper è destinato agli amministratori di sistema o ad altri utenti interessati a conoscere le misure di protezione della sicurezza esistenti in SBM 11 .0 e a esaminare i risultati dell’analisi della sicurezza delle applicazioni Web con le tecnologie più recenti .
Misure di protezione della sicurezza di Solutions Business Manager
Micro Focus utilizza un approccio a più livelli per la sicurezza all’interno di SBM, che incude best practice per prevenire le falle nella sicurezza, nonché per assicurare l’integrità dei dati e la loro riservatezza .
Configurazione di server e databaseSBM Configurator offre un semplice meccanismo per installare i vari componenti delle applicazioni e del database SBM su più server. Ciò serve per ridurre al minimo la “superficie di attacco” . Ad esempio, i dati aggiornati dagli utenti possono essere archiviati su un server, i dati usati per creare e descrivere le applicazioni di processo e altri artefatti di sviluppo possono essere archiviati su un altro server e i dati di configurazione e amministrazione possono essere archiviati su un altro computer ancora . Gli amministratori possono quindi limitare l’accesso a tali server in modo appropriato, complicando le cose per un avversario che intendesse sfruttare le vulnerabilità del sistema violando un qualsiasi server o computer fisico.
Micro Focus prende la sicurezza in seria considerazione. Ci sforziamo di migliorare SBM sempre di più per la protezione contro tutte le nuove vulnerabilità che vengono scoperte.
2
White paperValutazione della sicurezza delle applicazioni Web per Micro Focus Solutions Business Managerr 11.0
Cifratura dei dati in transitoI dati sono maggiormente vulnerabili all’accesso non autorizzato poiché viaggiano su Internet o all’interno di reti. Per questo motivo, SBM Configurator offre un meccanismo per configurare i server applicabili affinché utilizzino connessioni HTTP (HTTPS) e Secure Socket Layer (SSL) protette per cifrare, autenticare e garantire l’integrità dei dati . Ciò può riguardare le interazioni con gli utenti finali, le comunicazioni tra i componenti, le comunicazioni con i sistemi di terze parti e le infrastrutture quali server LDAP e database relazionali .
Cifratura dei dati inattiviI dati che risiedono su sistemi di storage e su supporti presentano problemi di sicurezza seri per quanto riguarda la protezione dei dati aziendali e la loro privacy . In SBM ci sono due tipi di dati inattivi: quelli archiviati in un database relazionale e quelli archiviati nel file system.
Ci sono due fattori da considerare per la sicurezza dei dati nel database relazionale . Il primo fattore riguarda la restrizione dell’accesso ai dati mediante autorizzazioni per i database utilizzati da SBM. Tale restrizione è gestita dagli account utente DBMS o dagli account di dominio Windows ai quali è stato consentito l’accesso ai database . Il secondo fattore riguarda il fatto che i dati nei database possono essere cifrati dal DBMS per ottenere un ulteriore livello di sicurezza .
Devono essere protetti anche i dati archiviati nel file system, ad esempio le informazioni di configurazione e connessione. SBM cifra le credenziali utilizzate per la connessione ai vari database con un algoritmo di cifratura Triple DES con chiavi a 184 bit. Le informazioni utilizzate per connettersi ai provider di identità utilizzando l’accesso Single Sign-On (SSO) possono essere considerate sensibili, pertanto SBM offre l’opzione di cifrare tali informazioni. L’accesso SSO utilizza chiavi a 256 bit sia con Blowfish, AES o 3DES.
Autenticazione e gestione delle sessioniIndipendentemente dal metodo di accesso utilizzato (browser Web, app mobili o applicazioni desktop), l’accesso di tutti gli utenti passa attraverso un processo di autenticazione . SBM Configurator offre varie opzioni per i provider di identità, ad esempio database utente interno, dominio Windows, LDAP o altri provider di terze parti . La gestione delle sessioni in SBM può essere configurata per utilizzare cookie HTTP, NTLM o token di sicurezza tramite l’accesso SSO . SBM prevede anche scenari più complessi quando si utilizza l’accesso SSO, tra cui la convalida rispetto a più provider di identità e l’autenticazione a due fattori tramite smart card .
Inoltre, SBM offre controlli per la gestione del timeout di inattività della durata dei token di sessione per i token di sicurezza .
Indipendentemente dal metodo di accesso utilizzato (browser Web, app mobili o applicazioni desktop), l’accesso di tutti gli utenti passa attraverso un processo di autenticazione. SBM Configurator offre varie opzioni per i provider di identità, ad esempio database utente interno, dominio Windows, LDAP o altri provider di terze parti.
3www.microfocus.com
Autorizzazione (controllo dell’accesso)SBM Application Administrator offre agli amministratori la possibilità di impostare autorizzazioni utente a livello individuale, di ruolo o di gruppo, e di seguire il principio del privilegio minimo: consentire agli utenti di svolgere il proprio lavoro con un livello di autorizzazione minimo . Oltre a ciò, SBM prevede per le connessioni SSL bidirezionali la restrizione dell’accesso alle interfacce non degli utenti finali.
Sicurezza delle applicazioni WebSBM offre funzionalità integrate di bonifica e firewall proprietarie e di terze parti per diversi tipi di attacchi:
Attacchi a contenuto XML/HTML (attacchi Cross-site scripting [XSS], JavaScript injection, SQL injection e attacchi alla correttezza del formato)
Attacchi crittografici (attacchi denial-of-service e di tipo replay)
Attacchi SOAP (filtro delle operazioni SOAP e allegati SOAP illeciti)
Attacchi di comunicazione (intestazione HTTP e analisi della stringa di query)
Attacchi di autenticazione (attacchi Cross-site request forgery [XSRF])
SBM consente di personalizzare la bonifica tramite Application Administrator.
Oltre al monitoraggio e alla bonifica del contenuto, SBM offre anche un Web application firewall che include ModSecurity. Tale firewall può essere utilizzato a scopo di monitoraggio o impostato per bloccare attivamente le richieste sulla base di regole di sicurezza prestabilite . Queste regole di sicurezza sono personalizzabili e consentono agli amministratori di adattare la configurazione della sicurezza per soddisfare le proprie esigenze di contenuto specifiche o i requisiti di sicurezza aumentati. Nel caso in cui venga scoperta una vulnerabilità nella sicurezza, tale firewall consente il patching virtuale dei sistemi sul campo.
Risultati dei test di sicurezza delle applicazioni Web per SBM 11.0
I test sono stati effettuati utilizzando Burp Suite Professional v1.6.28. Per eseguire l’analisi attiva delle richieste dei client è stato utilizzato in modo specifico Burp Web Vulnerability Scanner, uno strumento integrato in questa suite . Questo strumento è rinomato nel settore e utilizza una logica di analisi basata sul feedback anziché un elenco statico di possibili vulnerabilità .
SBM Application Administrator offre agli amministratori la possibilità di impostare autorizzazioni utente a livello individuale, di ruolo o di gruppo, e di seguire il principio del privilegio minimo: consentire agli utenti di svolgere il proprio lavoro con un livello di autorizzazione minimo.
4
White paperValutazione della sicurezza delle applicazioni Web per Micro Focus Solutions Business Managerr 11.0
Per lo scopo di questi test, Burp Suite ha monitorato le richieste su un’installazione remota e indipendente di SBM con l’autenticazione SBM interna e la gestione delle sessioni SSO.
Configurazione dei testBurp Suite è stato eseguito su un computer dedicato che fungeva da server proxy in grado di monitorare le richieste effettuate tramite il browser Web. Per lo scopo di questi test, Burp Suite ha monitorato le richieste su un’installazione remota e indipendente di SBM con l’autenticazione SBM interna e la gestione delle sessioni SSO . Burp Suite ha registrato le richieste effettuate tramite il browser e ha contemporaneamente segnalato vulnerabilità rilevate passivamente. Burp Suite è stato quindi utilizzato per effettuare l’analisi attiva di tutte le richieste registrate con parametri, e ha inviato numerose richieste (nell’ordine delle centinaia o le migliaia) formattate dopo ogni richiesta analizzata ma contenenti alterazioni di parametri allo scopo di rivelare le vulnerabilità. SBM è stato configurato per utilizzare il protocollo HTTPS per le richieste e l’accesso SSO è stato abilitato. Per gestire la variabilità delle personalizzazioni, è stato implementato un set di regole ModSecurity personalizzato . È stata testata l’analisi dei seguenti tipi di attacchi:
SQL Injection
OS command injection
Server-side code and template injection
Reflected and stored cross site scripting
File path traversal/manipulation
External/out-of-band interaction
HTTP header injection
XML/SOAP injection
LDAP injection
Cross-site request forgery
Open redirection
Header manipulation
Problemi a livello di server
Micro Focus ha valutato i risultati di queste analisi cercando le richieste con potenziali vulnerabilità .
Casi di utilizzoÈ stata eseguita l’analisi rispetto ai tipici casi di utilizzo di SBM . Questi includono:
Accesso a SBM
Visualizzazione dei dati degli elementi
Visualizzazione dei rapporti
Visualizzazione dei backlog
Visualizzazione delle attività
5www.microfocus.com
Un’attenzione speciale è stata riservata alle operazioni in grado di archiviare o modificare i dati nel sistema, tra cui:
Invio di un elemento
Transizione di un elemento
Creazione e modifica di un rapporto
Creazione di backlog
Creazione di attività
Ricerca Work Center
Ricerca spazio di lavoro utente
Aggiornamento delle informazioni sul profilo utente
RisultatiSono stati valutati i risultati delle analisi della sicurezza. Non sono state rilevate gravi vulnerabilità . I risultati segnalati come potenziali problemi con basso livello di gravità, che dovevano essere valutati, sono stati ispezionati manualmente ed è stato stabilito che non costituivano un problema come specificato di seguito.
Sono stati valutati i risultati delle analisi della sicurezza. Non sono state rilevate gravi vulnerabilità.
Area sottoposta a test Risultato Ulteriori informazioni Invio, visualizzazione,
transizione di elementi Superato. Non sono stati trovati problemi di elevata
o media gravità —
Creazione ed esecuzione di rapporti
Superato. Falso positivo: DOM-based XSS L’ispezione del codice ha confermato che questo problema è stato risolto correttamente. SBM ha bloccato correttamente il tentativo DOM-based XSS.
Creazione ed esecuzione di rapporti
Superato. Falso positivo: rilevata intestazione della risposta
L’ispezione del codice ha dimostrato che questo problema è stato eliminato correttamente dopo un reindirizzamento.
Modifica del profilo utente Superato. —
Ricerca classica Superato. Falso positivo: DOM-based XSS L’ispezione del codice ha mostrato che i valori sono stati corretti. SBM ha bloccato correttamente il tentativo DOM-based XSS.
Work Center Superato con un’eccezione. Rilevato problema Reflected XSS con parametro di shell (vedere “Ulteriori informazioni”)
Le regole di sicurezza per la configurazione del Web application firewall per bloccare questo risultato del test sono disponibili presso Micro Focus. La configurazione può anche essere eseguita dai clienti per consentire shell personalizzate.
Creazione ed esecuzione di attività
Superato con un’eccezione. Rilevato problema Reflected XSS (vedere “Ulteriori informazioni”)
L’ispezione del codice ha mostrato che i valori sono stati corretti. SBM ha bloccato correttamente il tentativo DOM-based XSS. Le regole di sicurezza per la configurazione del Web application firewall per bloccare questo risultato del test sono disponibili presso Micro Focus.
Creazione ed esecuzione di backlog
Superato con un’eccezione. Rilevato problema Reflected XSS (vedere “Ulteriori informazioni”)
SBM ha bloccato correttamente il tentativo DOM-based XSS. Le regole di sicurezza per la configurazione del Web application firewall per bloccare questi risultati del test sono disponibili presso Micro Focus.
162-IT0094-002 | S | 06/17 | © 2017 Micro Focus. Tutti i diritti riservati. Micro Focus e il logo Micro Focus, tra gli altri, sono marchi di fabbrica o marchi registrati di Micro Focus o delle sue controllate o consociate nel Regno Unito, negli Stati Uniti e in altri Paesi. Tutti gli altri marchi appartengono ai rispettivi proprietari.
Micro FocusItalia+39 02 366 349 00
Micro FocusSede centraleRegno Unito+44 (0) 1635 565200
www.microfocus.com
Primi dieci risultati OSWASP
www.microfocus.com
ID Area sottoposta a test Risultato Ulteriori informazioni A1 Injection Nessun problema
trovato SBM monitora attivamente diversi attacchi di tipo injection e
segue i design pattern utilizzati per impedire tali attacchi.
A2 Autenticazione interrotta e Gestione delle sessioni
Nessun problema trovato
SBM utilizza best practice di settore per la gestione delle sessioni, l’autenticazione e la gestione delle password.
A3 Cross Site Scripting (XSS) Nessun problema trovato
SBM monitora attivamente gli attacchi XSS e fornisce una configurazione capillare per il contenuto consentito.
A4 Riferimenti diretti a oggetti non sicuri
Nessun problema trovato
Tutti gli accessi degli oggetti all’interno di SBM passano attraverso un controllo dell’accesso centralizzato per verificare l’autorizzazione dell’utente.
A5 Configurazione errata della sicurezza
Nessun problema trovato
SBM offre un’applicazione che agevola la configurazione delle impostazioni di sicurezza e fornisce istruzioni su come proteggere la configurazione in modo appropriato.
A6 Esposizione di dati sensibili Nessun problema trovato
I dati sensibili archiviati da SBM sono memorizzati in modo sicuro quando sono inattivi e, se appositamente configurati, anche quando sono in transito verso il server.
A7 Controllo dell’accesso a livello di funzione mancante
Nessun problema trovato
Tutte le richieste di dati vengono convalidate a livello di client e server per garantire le autorizzazioni appropriate per i dati.
A8 Cross Site Request Forgery (CSRF)
Nessun problema trovato
SBM consente il monitoraggio attivo e la mitigazione degli attacchi CSRF.
A9 Utilizzo di componenti con vulnerabilità note
Nessun problema trovato
Come parte del processo di release, i componenti di terze parti vengono controllati rispetto a elenchi di vulnerabilità e aggiornati di conseguenza.
A10 Reindirizzamenti e inoltri non convalidati
Nessun problema trovato
SBM esegue un controllo rigido sui reindirizzamenti interni ed esterni.
