Micro Focus Solutions Business Manager 11.0 Web 應用程式安全評估作者：Sarah Timmons 與 Brock Bland， 2015 年 12 月 8 日

White PaperSolutions Business Manager

目錄 頁碼

引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Solutions Business Manager 安全防護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

SBM 11.0 Web 應用程式安全測試結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1www.microfocus.com

引言

網際網路應用程式總是容易遭受攻擊，各類惡意使用者、被濫用的殭屍電腦，和網

路爬蟲會操縱資料安全模型中的弱點，在未經授權的情況下取得存取重要資料的

權限。Micro Focus® Solutions Business Manager (SBM) 每次發佈時都要按照認證程

序進行 Web 應用程式安全掃描，而且它會透過全面測試，驗證儲存在資料庫的企業

資料是否安全。

Micro Focus 知道，在這些測試中偵測到的任何弱點都可能被人操縱，進而獲得權限

去存取敏感的企業資料，最終造成財務損失。我們的開發與品管部門努力在每個測試

週期中揭露並解決這類潛在弱點。Micro Focus 極度重視安全議題。我們不斷努力增

強 SBM 的功能來抵禦所發現的任何新弱點。

哪些人應該閱讀這份白皮書？

這份白皮書的目標對象是系統管理員或其他有興趣瞭解 SBM 11.0 現有安全防護，並

查閱最新 Web 應用程式安全掃描結果的人們。

Solutions Business Manager 安全防護

Micro Focus 在 SBM 內部採用多層式安全防護，結合了避免資安事故的最佳實務，

同時確保資料完整性和機密性。

伺服器與資料庫組態

SBM Configurator 提供簡單的機制，能在多台伺服器上部署各式各樣的 SBM 資料庫

和應用程式元件。這麼做可以盡量縮小「攻擊表面」。例如，由使用者更新的資料可

以儲存到一台伺服器上，用來建置和描述程序應用程式及其他設計產出工件的資料儲

存在另一台，然後組態和管理資料則儲存在另外一台機器上。管理員接著可以對這些

伺服器實施適當的存取限制，讓敵方無法在隨便入侵任何一台伺服器或實體機器後，

就能隨心所欲地鑽系統漏洞。

Micro Focus 極度重視安全議題。我們不斷努力

增強 SBM 的功能來抵禦所發現的任何新弱點。

2

White PaperMicro Focus Solutions Business Manager 11.0 Web 應用程式安全評估

加密傳輸中的資料

資料在網際網路上或在網路內部傳輸時，最容易受到未經授權的存取之攻擊。因此，

我們可以透過 SBM Configurator 設定適用的伺服器使用安全 HTTP (HTTPS) 和安全

通訊端層 (SSL) 來加密、驗證及確保資料完整性。這個功能可應用於與最終使用者的

互動、元件之間的通訊、與協力廠商系統的通訊，以及諸如 LDAP 伺服器和關聯式資

料庫等基礎架構。

靜態資料加密

在企業資料保護與資料隱私權上，存放於儲存系統的資料和媒體安全性是非常重要的

課題。SBM 的靜態資料有兩種形態：儲存在關聯式資料庫的資料以及儲存在檔案系

統的資料。

關聯式資料庫的資料保護有兩項要素。第一項要素是透過權限來控制 SBM 使用的

資料庫以便限制資料存取。利用 DBMS 使用者帳戶或是已獲得資料庫存取權限的

Windows 網域帳戶負責管理。第二項要素是 DBMS 可以把資料庫內的資料加密，再

添一道安全防護。

儲存在檔案系統上的資料，例如組態和連線資訊，也必須受到保護。SBM 使用三重

DES 加密演算法搭配 184 位元金鑰來連接各個不同資料庫的身份證明加密。用來連

接至身份識別提供者以利進行單一登入 (SSO) 的資訊被認定為敏感資訊，所以 SBM

提供加密這項資訊的選項。SSO 使用 256 位元金鑰搭配 Blowfish、AES 或 3DES。

驗證與工作階段管理

無論使用何種存取方法 (Web 瀏覽器、行動應用程式或桌面應用程式)，所有使用者

在存取時皆經過一道驗證程序。SBM Configurator 提供數個身份證明提供者供您選

擇，例如內部使用者資料庫、Windows 網域、LDAP 或其他協力廠商。SBM 的工作

階段管理經過設定後可使用 HTTP Cookie、NTLM 或是透過 SSO 使用安全記號。在

SBM 中使用 SSO 也允許比較複雜的情境，包括驗證多個身份證明提供者以及透過智

慧卡進行雙因素驗證。

此外，SBM 有控制功能可管理安全記號的工作階段記號有效期間的閒置逾時。

無論使用何種存取方

法 (Web 瀏覽器、行動應用程式或桌面應用程

式 )，所有使用者在存取時皆經過一道驗證程

序。SBM Configurator 提供數個身份證明提供者

供您選擇，例如內部使

用者資料庫、Windows 網域、LDAP 或其他協力廠商。

3www.microfocus.com

授權 (存取控制)SBM Application Administrator 讓管理員可依角色、群組及個人層級設定使用者權

限，讓管理員依循最少權限的原則：僅給予使用者進行工作可能需要的最少權限。此

外，SBM 以雙向 SSL 連線限制非最終使用者介面的存取。

Web 應用程式安全SBM 提供整合式專屬防火牆和協力廠商防火牆以及淨化功能來應付各種攻擊：

XML/HTML 內容攻擊 (跨網站指令碼攻擊 [XSS]、JavaScript 注入、SQL 注入以及語式正確性)

密碼攻擊 (阻斷服務和重送攻擊)

SOAP 攻擊 (SOAP 操作過濾和異常的 SOAP 附件)

通訊攻擊 (HTTP 標題區和查詢字串分析)

驗證攻擊 (跨網站偽造請求攻擊 [XSRF])

SBM 可透過 Application Administrator 自訂這個消除功能。

除了內容監控和淨化以外，SBM 也包含 ModSecurity 作為 Web 應用程式防火牆。您

可以用來監控或是設定為根據所定義的安全規則主動阻擋請求。這些安全規則皆可自

訂並且允許管理員專門設定安全組態來滿足特定的內容需求或是更高的安全要求。萬

一發現安全弱點，也可以對現場的系統進行虛擬修補。

SBM 11.0 Web 應用程式安全測試結果

我們使用 Burp Suite Professional v1.6.28 執行測試。Burp Web Vulnerability Scanner

是套件內的一個工具，專門用來主動掃描來自用戶端的請求。此工具在業界廣受讚

譽，它使用回饋導向的掃描邏輯，而不是根據可能弱點的靜態清單。

SBM Application Administrator 讓管理員可依角色、群組及個人

層級設定使用者權限，

讓管理員依循最少權限

的原則：僅給予使用者

進行工作可能需要的最

少權限。

4

White PaperMicro Focus Solutions Business Manager 11.0 Web 應用程式安全評估

為了執行這些測試， Burp Suite 利用 SBM 內部驗證和 SSO 工作階段管理來監控安裝在遠端

獨立運作的 SBM 上的請求。

測試設定

Burp Suite 在專屬的機器上執行，而該機器則作為代理伺服器監控透過 Web 瀏覽器提

出的請求。為了執行這些測試，Burp Suite 利用 SBM 內部驗證和 SSO 工作階段管理

來監控安裝在遠端獨立運作的 SBM 上的請求。Burp Suite 將透過瀏覽器提出的請求錄

製下來，同時留意被動偵測到的弱點。然後使用 Burp Suite 主動掃描記錄中所有有參

數的請求，接著把每一個掃描到的請求中可能曝露弱點的參數更改後再行格式化，最

後才大量 (數百個或數千個) 送出請求。SBM 依照設定使用 HTTPS 處理請求並且啟用

SSO。為了處理各種不同的自訂設定，我們也提供自訂的 ModSecurity 規則集。掃描

功能已通過測試可找出下列類型的攻擊：

SQL 注入

OS 指令注入

伺服器端程式與樣板注入

反射式和儲存式跨網站指令碼攻擊

檔案路徑尋訪/操縱

外部/頻外互動

HTTP 標題區注入

XML/SOAP 注入

LDAP 注入

跨網站偽造請求

開放重新導向

標題區操縱

伺服器層級的問題

Micro Focus 評估這些掃描的結果並尋找具有潛在弱點的請求。

使用案例

針對 SBM 的一般使用情況進行掃描。其中包括：

登入 SBM

檢視項目資料

檢視報告

檢視待處理項目

檢視活動

5www.microfocus.com

對於在系統中儲存或修改資料的操作會特別留意，包括：

提交一個項目

轉換一個項目

建立和修補一份報告

建立待處理項目

建立活動

Work Center 搜尋

使用者工作區搜尋

更新使用者設定檔資訊

掃描發現

安全掃描的結果已經過評估。未發現任何嚴重的弱點。標記為潛在低嚴重性問題的結

果應予以評估，已用手動方式檢查並判定為不是問題，詳細資料如下所示。

安全掃描的結果已經過

評估。未發現任何嚴重

的弱點。

測試範圍 結果 其他資訊 提交、檢視、轉換項目 通過。未發現任何高或中等嚴重性的問題 —

報告製作與執行 通過。DOM 型 XSS 誤判 檢查程式碼後確認已正確淨化此弱點。SBM 正確地攔截 DOM 型 XSS 攻擊。

報告製作與執行 通過。搜尋回應標題區誤判 程式碼檢查結果顯示這個弱點在重新導向之後已正確淨化。

使用者設定檔修改 通過。 —

標準搜尋 通過。DOM 型 XSS 誤判 程式碼檢查結果顯示數值已淨化。 SBM 正確地攔截 DOM 型 XSS 攻擊。

Work Center 通過但有例外情況。使用外圍程序參數 測試時發現反射式 XSS 問題 (參閱「其他 資訊」)

Micro Focus 提供安全規則，讓 Web 應用程式防火牆組態攔截這個發現。客戶也可以進行設定，以便允許自訂的外圍程序。

建立與執行活動 通過但有例外情況。發現反射式 XSS 問題 (參閱其他資訊)

程式碼檢查結果顯示數值已淨化。SBM 正確地攔截 DOM 型 XSS 攻擊。Micro Focus 亦提供安全規則，讓 Web 應用程式防火牆組態攔截這個發現。

待處理項目建立與執行 通過但有例外情況。發現反射式 XSS 問題 (參閱其他資訊)

SBM 正確地攔截 DOM 型 XSS 攻擊。Micro Focus 提供安全規則，讓 Web 應用程式防火牆組態攔截這些發現。

162-TW0094-002 | S | 06/17 | © 2017 Micro Focus。版權所有。Micro Focus 及 Micro Focus 標誌等項目，是 Micro Focus 或 其子公司或關係企業在英國、美國及其他國家/地區的商標或註冊商標。所有其他標記皆為個別擁有者的財產。

台灣+886 2 2376 0000

Micro Focus總公司英國+44 (0) 1635 565200

www.microfocus.com

OSWASP 十大結果

www.microfocus.com

ID 測試範圍 結果 其他資訊 A1 注入 未發現問題 SBM 主動監控不同的注入攻擊並遵循用來防止注

入攻擊的設計模式。

A2 驗證與工作階段管理中斷 未發現問題 SBM 使用業界最佳實務來進行工作階段管理、驗證及密碼管理。

A3 跨網站指令碼攻擊 (XSS) 未發現問題 SBM 主動監控 XSS 攻擊並可詳細設定獲准傳輸的內容之組態。

A4 不安全的直接物件參照 未發現問題 所有存取 SBM 內部物件的行為都必須通過中央的存取控制來驗證使用者的權限。

A5 安全組態設定錯誤 未發現問題 SBM 提供一個組態應用程式，讓您輕鬆設定安全組態並指導您保護組態的正確方法。

A6 敏感資料外洩 未發現問題 由 SBM 儲存的敏感資料會以安全的方式靜態儲存，依設定也可傳送到伺服器，。

A7 缺少功能層級的存取控制 未發現問題 在用戶端和伺服器層級皆會驗證所有資料請求， 確保給予正確的資料存取權限。

A8 跨網站偽造請求 (CSRF) 未發現問題 SBM 會主動監控 CSRF 攻擊並進行緩解。

A9 使用含有已知弱點的元件 未發現問題 發行程序會依據弱點清單檢查協力廠商的元件並進行相應的更新。

A10 未經驗證的重新導向與轉遞

未發現問題 SBM 會依嚴格標準檢查內部和外部的重新導向 作業。