Security Scanner #107: Web Component with URL Access enabled
Que problema de seguridad puede tener esto?
Los webcomponents están pensados para ser ejecutados dentro de otra pagina web (webpanel o transaction). Generalmente, las validaciones de seguridad de los mismos se realizan en los programas llamadores y no en los webpanels.También es comun, que dichas validaciones se hagan en la MasterPage de dichos webpanels.
Al poner la propiedad del WebComponent URL Access = true, se posibilita que dicho webcomponent sea ejecutado directamente sin ejecutar el webpanel que lo contiene y tampoco se ejecuta la masterpage.
Si bien ésto es muy práctico en el momento que estamos desarrollando, es algo peligroso en producción, pues usuarios sin permiso podrían acceder a parte de mi aplicación sin los controles de acceso deseados.
Que puedo hacer para solucionarlo?
La mas fácil, es recorrer todos los WebComponents listados por el Security Scanner con el error #107 y deshabilitar la propiedad URL Access. De esta forma, los mismos solo podran ser ejecutados en sus paginas contenedoras.Otra opción, es agregarle todas las validaciones de autenticación y autorización que se realizan en la MasterPage y/o Webpanel que las llama.
Comentarios
Publicar un comentario
1) Lee el post
2) Poné tu opinión sobre el mismo.
Todos los comentarios serán leidos y la mayoría son publicados.