В моей организации у нас есть веб-приложение, которое использует несколько встроенных в него инструментальных панелей. У нас есть сервер таблиц 2018.3.2. Моя организация хочет провести тест уязвимости на сервере Tableau, так как лишь немногие из моих клиентов получают доступ к нашему веб-приложению. Поэтому я хочу знать, возможно ли это и нужно ли это?
Они запустили тест уязвимости, используя Qualsys на одном сервере, используя URL-адрес моего сервера таблиц, и у них было несколько наблюдений, перечисленных ниже.
- Сервер SSL / TLS поддерживает TLSv1.0: я уже выполнил приведенную ниже команду tsm на сервере, однако в отчете по-прежнему показывается, что она уязвима после выполнения
tsm command set tsm configuration set-k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
- Заголовок безопасности HTTP не обнаружен: существует ли команда tsm для установки параметров X-Frame_options дляТабличный сервер версии 2018. Было сказано, что только с Tableau Server 2019.3.2 эта опция доступна. Я включил HTTP Strict Transport Security для клиентов веб-браузера, используя команду tsm ниже. Тем не менее, отчет по-прежнему отображается как Уязвимость
Набор конфигурации tsm -k gateway.http.hsts_options -v max-age = 31536000
- Content-Security-Policy Заголовок безопасности HTTP не обнаружен: для gateway.http.x_xss_protection задано значение true с помощью команды tsm
- Заголовок безопасности HTTP Public-Key-Pins не обнаружен (для этого нет команды)
- Уязвимость медленного HTTP POST
- Файл cookie не содержит «HTTPOnly»
- Атрибут X-Frame-Options не установлен
AsЯ выполнил большинство необходимых команд, отчет по-прежнему показывался уязвимым. Есть ли что-то, что мне нужно сделать на уровне сервера Apache?
Я хотел знать, как исправить эти уязвимости, и то, что я сделал, правильно. Также рекомендуется ли проводить тестирование уязвимостей на сервере Tableau?
Любая помощь приветствуется.