Clickjacking utiliza iFrames ou outros componentes, para sequestrar as interações de um utilizador com uma página Web.
O Power Pages fornece definições de site HTTP/X-Frame-Options com SAMEORIGIN padrão para proteger contra ataques de clickjacking.
Mais informações: Configurar cabeçalhos HTTP no Power Pages
O Power Pages suporta a Política de Segurança de Conteúdo (CSP). São recomendados testes extensos após a ativação da CSP em sites do Power Pages.
Mais informações: Gerir a Política de Segurança de Conteúdo do seu site
Por predefinição, o Power Pages suporta HTTP e HTTPS para redirecionamentos. Se sinalizado, verifique se o pedido está a ser bloqueado ao Nível de Serviço de Aplicações. Se não for um pedido bem-sucedido (código de resposta >= 400), é um falso positivo.
Porque é que os cookies sem sinalizadores HTTPOnly/SameSite são detetados/reportados por ferramentas de teste de penetração?
O Power Pages define as sinalizações HTTPOnly/SameSite para cada cookie crítico. Existem alguns cookies não críticos para os quais o HTTPOnly/SameSite não está definido e estes não devem ser considerados como vulnerabilidade.
Mais informações: Cookies no Power Pages
O meu relatório do Teste de Penetração está a sinalizar Software em Fim de Vida/Obsoleto — Bootstrap 3. O que devo fazer?
Não existem vulnerabilidades conhecidas no Bootstrap 3; no entanto, pode migrar o site para o Bootstrap 5.
Que cifras são suportadas pelo Power Pages? Qual é o mapa de objetivos de avançar continuamente para cifras mais fortes?
Todos os serviços e produtos da Microsoft estão configurados para utilizar os conjuntos de cifras aprovados, na ordem exata indicada pela Microsoft Crypto Board.
Para obter a lista completa e a ordem exata, consulte a Documentação do Power Platform.
As informações relacionadas com preterimentos de conjuntos de cifras são comunicadas através da documentação Alterações Importantes do Power Platform.
Por que razão o Power Pages ainda suporta cifras RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) e TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) que são consideradas mais fracas?
A Microsoft pondera o risco relativo e a perturbação às operações do cliente na escolha dos conjuntos de cifras a suportar. Os conjuntos de cifras RSA-CBC ainda não foram quebrados. Ativámo-los para garantir consistência em todos os nossos serviços e produtos, e para suportar todas as configurações do cliente; no entanto, estão no final da lista de prioridades.
Preterimos cifras com base na avaliação contínua do Crypto Board da Microsoft.
Mais informações: Quais os conjuntos de cifras TLS 1.2 suportados pelo Power Pages?
O Power Pages foi criado no Microsoft Azure e utiliza o Azure DDoS Protection para proteger contra ataques DDoS. Além disso, a ativação de OOB/AFD de terceiros/WAF pode adicionar mais proteção ao site.
Mais informações:
O meu relatório de Teste de penetração está a sinalizar vulnerabilidade no CKEditor. Como mitigo esta vulnerabilidade?
O controlo PCF RTE substitui o CKEditor em breve. Se pretender mitigar este problema antes do lançamento do controlo PCF RTE , desative o CKEditor configurando a definição do site DisableCkEditorBundle = verdadeiro. Um campo de texto substituirá CKEditor depois de ser desativado.
Recomendamos que efetue a codificação HTML antes de compor dados de uma origem não fidedigna.
Mais informações: Filtros de codificação disponíveis.
Por predefinição, a caraterística ASP.Net pedir validação está ativada nos formulários do Power Pages para evitar ataques de injeção de script. Se estiver a criar o seu próprio formulário através da API, o Power Pages incorpora diversas medidas para evitar ataques de injeção.
- Garanta a limpeza adequada de HTML ao lidar com a entrada de utilizador num formulário ou qualquer controlo de dados que utilize a API da Web.
- Implemente a limpeza de entrada e saída para todos os dados de entrada e saída antes de os compor na página. Isto inclui dados obtidos via Liquid/WebAPI ou inseridos/atualizados no Dataverse através desses canais.
- Se forem necessárias verificações especiais antes de introduzir ou atualizar os dados do formulário, pode escrever plug-ins que são executados para validar os dados no lado do servidor.
Mais informações: Documento técnico de segurança do Power Pages.