サーバーの脆弱性スキャン後に、セキュリティの脆弱性が報告されることがあります。参照しているページは OOTB ページと認証スキームです。

報告例:

重大度評価: 中

https://example.example.com/siteminderagent/forms/smpwservices.fcc?USERNAME=\u003cimg\u0020src\u003dx\u0020onerror\u003d\u0022confirm(document.domain)\u0022\u003e&SMAUTHREASON=7

　注: ここでは「example.example.com」は Web エージェント ホストの FQDN です。

脆弱性の概要: クロスサイト スクリプティング (XSS) 

インパクト：

Cookie の盗用 - 悪意のあるユーザーが Cookie を盗み、それを使用してアプリケーションにアクセスする可能性があります。

任意のリクエスト - 攻撃者は XSS を使用して、被害者からのものであるように見えるリクエストを Web サーバーに送信する可能性があります。
マルウェアのダウンロード - XSS は、ユーザーにマルウェアのダウンロードを促す可能性があります。このプロンプトはサイトからの正当なリクエストのように見えるため、ユーザーはそのリクエストを信頼して実際にマルウェアをインストールする可能性が高くなります。

注: 「このプロンプト」とはクエリ文字列に埋め込まれた JavaScript confirm メソッドを意味します。

ポリシー サーバー: 12.8
Web エージェント:12.52, 12.8

クロスサイト スクリプティングの脆弱性は、Web ベースのアプリケーションに共通して存在します。
お客様は、次のドキュメントに従うことから始めて、複数の軽減方法を選択できます: 

攻撃の防止

1.  パスワード サービスの処理中に、ユーザー要求が複数回リダイレクトされます。リクエストがリダイレクトされると、ユーザーが入力したログイン ID (通常はユーザー名) がデフォルトでリクエスト URL に追加されます。ログイン ID (ユーザー名) がリダイレクトに追加されないようにデフォルトの動作を変更するには、ドキュメントに従って次の手順を実行します (パスワード サービスのリダイレクト時にログイン ID を削除する)。

パスワード ポリシーを設定する方法

2.  SiteMinder エージェント側から、ACO CSSChecking (Yes) を実装し、badcsschars に \ を追加します:

badcsschars=<,',>,\ 

これにより、ユーザーにはポップアップが表示されず、代わりにエラー 403 アクセス拒否の結果を得ます。この特定の使用例では、必要に応じて badcsschars に ( と ) を追加することもできます。

このオプション 2 は、最も一般的で効果的な緩和策です。

3.  さらに、SecureURLs という ACO パラメータを実装できます（Web エージェントがリダイレクト URL 内の SiteMinder クエリ パラメータを暗号化するかどうかを指定します）。多くのアプリとエージェントがすでに運用環境に統合されているため、このオプションは実装が現実的ではないことがよくあります。しかし、これは究極の解決策です。

SecureURLs は、シングル サインオン環境内のリダイレクション URL のクエリ文字列パラメータを暗号化するために使用されます。その際、シングル サインオン環境内のすべての Web エージェントの SecureURLs パラメータが同じ値に設定されていることを確認してください。

リダイレクト URL 内のクエリ文字列パラメータの暗号化

参照の英文ドキュメント：

Help Prevent Attacks

1) How to Configure Password Policies

3) Encrypt Query String Parameters in Redirection URLs

#

[英語文書] Cross-Site Scripting (XSS) vulnerability with smpwservices.fcc