El secuestro de clics utiliza iFrames incrustados, entre otros componentes, para secuestrar las interacciones de un usuario con una página web.
Power Pages proporciona configuración del sitio HTTP/X-Frame-Options con SAMEORIGIN predeterminado para proteger contra ataques de "clickjacking".
Más información: Configurar encabezados HTTP en Power Pages
Power Pages admite la directiva de seguridad de contenido (CSP). Se recomiendan pruebas exhaustivas después de habilitar CSP en sitios web Power Pages.
Más información: Administrar la directiva de seguridad de contenido del sitio
De forma predeterminada, Power Pages admite redireccionamientos de HTTP a HTTPS. Si está marcado, verifique si la solicitud se está bloqueando en el nivel de servicio de la aplicación. Si no es una solicitud exitosa (código de respuesta >= 400), es un falso positivo.
¿Por qué las herramientas de prueba de penetración detectan/informan cookies sin indicadores HTTPOnly/SameSite?
Power Pages establece indicadores HTTPOnly/SameSite para cada cookie crítica. Hay algunas cookies no críticas para las cuales HTTPOnly/SameSite no están configuradas y no deben considerarse una vulnerabilidad.
Más información: Cookies en Power Pages
Mi informe de prueba de lápiz indica software obsoleto/final de vida útil: Bootstrap 3 ¿Qué debo hacer?
No se conocen vulnerabilidades en Bootstrap 3; sin embargo, puede migrar su sitio a Bootstrap 5.
¿Qué cifras admite Power Pages? ¿Cuál es la hoja de ruta de avanzar continuamente hacia cifrados más fuertes?
Todos los servicios y productos de Microsoft están configurados para usar los conjuntos de cifrado aprobados, en el orden exacto indicado por Microsoft Crypto Board.
Para obtener la lista completa y el orden exacto, consulte la documentación de Power Platform.
La información sobre la obsolescencia de conjuntos de cifrado se comunicará a través de la documentación de los cambios importantes de Power Platform.
¿Por qué Power Pages aún admite cifrados RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) y TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), que se consideran más débiles?
Microsoft sopesa el riesgo relativo y la interrupción de operaciones del cliente al elegir los conjuntos de cifrado para el soporte. Los conjuntos de cifrado RSA-CBC aún no se han descifrado. Los hemos habilitado para garantizar la coherencia entre nuestros servicios y productos, y para admitir todas las configuraciones de los clientes, pero están al final de la lista de prioridades.
Estos cifrados quedarán obsoletos según la evaluación continua de Microsoft Crypto Board.
Más información: ¿Qué conjuntos de cifrado TLS 1.2 son compatibles con los portales de Power Pages?
Power Pages está construido sobre Microsoft Azure y usa Protección contra DDoS de Azure para proteger contra ataques DDoS. También habilitar OOB/AFD/WAF de terceros puede agregar más protección al sitio.
Más información:
El informe de mi prueba de lápiz indica una vulnerabilidad en CKEditor. ¿Cómo mitigo esta vulnerabilidad?
El control RTE PCF reemplazará pronto a CKEditor. Si desea mitigar este problema antes del lanzamiento del control RTE PCF, deshabilite CKEditor configurando el sitio DisableCkEditorBundle = true. Un campo de texto reemplaza a CKEditor una vez que está deshabilitado.
Recomendamos realizar la codificación HTML antes de representar datos de una fuente que no sea de confianza.
Más información: Filtros de codificación disponibles.
De forma predeterminada, la característica solicitud de validación de ASP.NET está habilitada en formularios Power Pages para evitar ataques de inyección de scripts. Si está creando su propio formulario utilizando la API, Power Pages incorpora varias medidas para prevenir ataques de inyección.
- Garantice un saneamiento HTML adecuado al manejar la entrada del usuario desde un formulario o cualquier control de datos que utilice API web.
- Implemente el saneamiento de entrada y salida para todos los datos de entrada y salida antes de representarlos en la página. Esto incluye datos obtenidos a través de Liquid/WebAPI o insertados/actualizados en Dataverse a través de estos canales.
- Si se necesitan comprobaciones especiales antes de insertar o actualizar los datos del formulario, puede escribir complementos que se ejecuten para validar los datos en el lado del servidor.
Más información: Notas del producto de seguridad de Power Pages.