Security Scanner #107: Web Component with URL Access enabled


Tengo una KB GeneXus y realizo una corrida del Security Scanner. Muestra algunos webcomponents que tienen la propiedad URL Access = true

Que problema de seguridad puede tener esto?

Los webcomponents están pensados para ser ejecutados dentro de otra pagina web (webpanel o transaction). Generalmente, las validaciones de seguridad de los mismos se realizan en los programas llamadores y no en los webpanels.

También es comun, que dichas validaciones se hagan en la MasterPage de dichos webpanels.

Al poner la propiedad del WebComponent URL Access = true, se posibilita que dicho webcomponent sea ejecutado directamente sin ejecutar el webpanel que lo contiene y tampoco se ejecuta la masterpage.

Si bien ésto es muy práctico en el momento que estamos desarrollando, es algo peligroso en producción, pues usuarios sin permiso podrían acceder a parte de mi aplicación sin los controles de acceso deseados.

Que puedo hacer para solucionarlo?

La mas fácil, es recorrer todos los WebComponents listados por el Security Scanner con el error #107 y deshabilitar la propiedad URL Access. De esta forma, los mismos solo podran ser ejecutados en sus paginas contenedoras.

Otra opción, es agregarle todas las validaciones de autenticación y autorización que se realizan en la MasterPage y/o Webpanel que las llama.

Comentarios

Entradas más populares de este blog

Aplicación monolítica o distribuida?

La nefasta influencia del golero de Cacho Bochinche en el fútbol uruguayo

Funcionalidades de GeneXus que vale la pena conocer: DATE Constants.