TeamPortal Infrastruttura 05/2013
TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo
TeamPortal Versioni moduli Core Core TP 20120400 attuale TP 20130100 TP 20130200 ( ipotesi ) Apache 2.2.23 2.2.23 2.2.24 OpenSSL 1.0.1c 1.0.1c 1.0.1e PostgreSQL 9.0.10 9.0.10 9.0.13 Python 2.5.6 2.5.6 2.5.6 Moduli Acu 8.1.2-ts14 8.1.2-ts15 8.1.2-ts15
TeamPortal Security 05/2013
Security Miglioramenti di sicurezza attraverso attività WAPT con azienda specializzata E stata ingaggiata una azienda specializzata per svolgere una attività completa di verifica WAPT (Web Application Penetration Test). Il personale tecnico del nostro partner per la sicurezza ha simulato un utente malevolo proveniente da Internet o dalla rete aziendale che volesse attaccare l'applicazione TeamPortal al fine di sfruttare vulnerabilità per accedere a dati ed informazioni riservate. Sono state effettuate tutte le verifiche Black Box per comprendere quali vulnerabilità fossero sfruttabili da un attaccante esterno privo di alcuna informazione e si è proceduto quindi in modalità Gray Box grazie alle informazioni fornite dal team tecnico TeamSystem, allo scopo di identificare le possibili vulnerabilità che potenzialmente permettono ad attaccanti esterni, anche sprovvisti di ogni tipo di informazione o credenziale di autenticazione, di accedere in maniera non autorizzata alla piattaforma. Attraverso questa collaborazione, sono stati individuati gli aspetti e le problematiche ad alto e medio impatto su cui intervenire per migliorare la sicurezza del sistema TeamPortal 5
Security Miglioramenti di sicurezza attraverso attività WAPT con azienda specializzata Pertanto sono state introdotte caratteristiche di sicurezza su funzionalità di download, campi hidden e messaggi di errore per evitare il Cross-site scripting (XSS), per impedire cioè ad un hacker di inserire codice al fine di modificare il contenuto della pagina web visitata Sono state rafforzate le necessarie caratteristiche per imperdire l intercettazione delle credenziali di accesso su login errati o nella memorizzazione della password nel browser per auto-completamento (Autocomplete login form) Fissate vulnerabilità che potessero consentire ad un attaccante di inserire codice JavaScript all'interno del database e accedere ad un controllo sulle sessioni utente (Multiple XSS Vulnerabilities) Al termine delle suddette attività di sviluppo, TeamPortal è stato nuovamente sottoposto ad attività di re-testing da parte della societa specializzata, che ne ha validato implementazioni e fix. 6
Security Miglioramenti di sicurezza attraverso attività WAPT con azienda specializzata Per alcuni degli aspetti di sicurezza sopra menzionati sono state aggiunte nuove opzioni nel modulo di Amministrazione / Portale / Configurazione, scheda Sicurezza 7
Security Miglioramenti di sicurezza attraverso attività WAPT con azienda specializzata Per alcuni degli aspetti di sicurezza sopra menzionati sono state aggiunte nuove opzioni nel modulo di Amministrazione / Portale / Configurazione, scheda Sicurezza Usa sempre https: forza l uso del solo protocollo sicuro (https) Disabilita autocompletamento campi password: disabilita l auto-completamento dei campi di tipo password. Il default è Disabilitato. Impedisci riutilizzo password: permette di impedire all utente di riutilizzare più volte la stessa password. Le scelte vanno da un minino dell ultime 3 password ad un massimo di tutte Disabilita validazione Server-Side: permette di disabilitare la validazione lato server. 8
Security Miglioramenti di sicurezza attraverso attività WAPT con azienda specializzata Per alcuni degli aspetti di sicurezza sopra menzionati sono state aggiunte nuove opzioni nel modulo di Amministrazione / Portale / Configurazione, scheda Sicurezza Disabilita URL crittati: permette di disabilitare la crittazione degli URL del TeamPortal. Utente già collegato da altra postazione: permette di scegliere come comportarsi nel caso in cui l utente sia già collegato da un altra postazione. Si può scegliere di: - Ignorare (non viene effettuato alcun controllo) - Avvisare (il secondo utente sarà avvisato) - Bloccare (al secondo utente sarà impedito l access) - Chiedi cosa fare (è l utente che in fase di login sceglie cosa fare) - Termina Sessioni Esistenti (quando il secondo utente accede, termina la sessione del primo) Disabilita utente che non si collegano da: se diverso da Off, vengono disabilitati gli utenti che non si collegano da un minimo di 3 mesi ad un massimo di 12 mesi. Accanto si trova anche il bottone che permettere di inserire la relativa attività pianificata. 9
Tutti i marchi e prodotti menzionati sono di proprietà delle rispettive società. Le specifiche sono soggette a modifica senza preavviso. Le videate riportate nel presente documento sono a titolo di esempio e possono riportare release non aggiornate. 10