Admin Tools

#38673 Vulnerabilità sito

Posted in ‘Admin Tools for Joomla! 4 & 5’

This is a public ticket

Everybody will be able to see its contents. Do not include usernames, passwords or any other sensitive information.

Environment Information

Joomla! version

‎4.2.8

PHP version

8.1.11

Admin Tools version

4.2.8

Latest post by fantoni on Wednesday, 08 March 2023 08:08 CST

Tuesday, 07 March 2023 03:48 CST

fantoni

Salve,

la scansione con https://hostedscan.com mi ha segnalato le seguenti vulnerabilità alte e medie:

Cross Site Scripting (Reflected)
Absence of Anti-CSRF Tokens
Missing Anti-clickjacking Header
Content Security Policy (CSP) Header Not Set
Cross-Domain Misconfiguration

Ho difficoltà a configurare il componente per risolvere, queste vulnerabilità.

Mi potrebbe indicare come si deve fare?

La ringrazio

Giovanni Fantoni

Wednesday, 08 March 2023 03:05 CST

tampe125

Salve,

di seguito trova gli step da effettuare:

Absence of Anti-CSRF Tokens
E' un falso positivo. Joomla aggiunge di default questo token, può controllare guardando il sorgente della pagina dove è presente un form

Missing Anti-clickjacking Header
Htaccess Maker > Protect against clickjacking

Cross Site Scripting (Reflected)
Htaccess Maker > Reflected XSS prevention

Content Security Policy (CSP) Header Not Set
Admin Tools non offre questa possibilità, deve usare il plugin di Joomla. Ma attenzione: molto probabilmente questo causerà problemi con il suo sito, in quanto potrebbero essere aggiunte alcune risorse in modo dinamico in fase di rendering della pagina da altri plugin. Il nostro suggerimento è di non attivarlo.

Cross-Domain Misconfiguration
Sinceramente non saprei a cosa si sta riferendo...

Davide Tampellini

Wednesday, 08 March 2023 08:08 CST

fantoni

Salve Davide,

La ringrazio

Gianni

Support