Lapachos Lending : Sesiones de seguridad

Created by Maite Anaya on jul 17, 2024

(estrella azul) Fecha

(estrella azul) Participantes

(estrella azul) Temas de debate

Hora

Elemento

Presentador

Notas

12hs

Sesión 19.6 

Juan Robles

Respuesta original de la cabecera: 

Pendiente de configurar permission policy 

Nueva respuesta: 

Se sube la misma configuración a dev y se sigue probando 


Sesión 11-7

Juan Robles

Cabecer csp donde se muestra el contenido sobre el dominio lend2b. 

Se colocó por default

Se tuvo que cambiar porque traía problemas en qa, cómo se restringen cuando hay que darle apis ejemplo ABL. 

Esto es de donde la saco no de donde la sirvo. 

Lo deberia pegar en backend por vpn porque no deberían poder pegarle directo en producción

Api lender 

APi producción 

API Front 

Se debe colocar un listado donde están los orígenes.  Cisco va a investigar para ver como se pone el dominio para que permita el acceso. 

Puede ser múltiple y dinámico: https://stackoverflow.com/questions/1653308/access-control-allow-origin-multiple-origin-domains

Ejecutaron un escaneo con OWASP ZAP para verificar y corregir vulnerabilidades: 

Sobre el head:

Access-Control-Allow-Origin

htacces leak de información, indica asegurarse de que no sea accesible. 

ELAM leak de información

Re-examine Cache - control- directives Se remedio en la misma sesión, falta activaron en cloudformation para el api gateway.  No sirvió el aprovisionamiento del cache hay que eliminar una cabecera. doc 3 de reporte 

SOLUCIONADO SOBRE HEALTH 

Juan investiga el strict transport security header not set 

Sobre los dominios: 

los cinco tickets del principio son para carlos 

Missing Anti clickjacking 

Cross - Domain Misconfiguration 

Content Security Policy CSP Header Not Set 


Sesión 15-07 Con Hervert 

Juan Robles

Configuración de registros  DIMARK, SPF, DKIM, Access-Control-Allow-Origin, 

Hay que configurar los dos servicios de correos. 

todos lo que hacen es certificar la entidad emisoras, mi identidad está validada en el dominio. 

Es una cadena txt,  DMARK, SPF, DKIM para que le valide y gane reputación el dominio. 

quedo todo configurado por gmail no por ss 

Hevert sugiere: 

 Access-Control-Allow-Origin

A veces mapping en NGS. 

Complica el tema de no tener un servidor hay que ver cual es la regla para estos casos.

Ejemplo ABL 

 

(estrella azul) Elementos de acción

  • Pedir reunión con Hevert para ver el DIMARK, SPF, DKM, Access-Control-Allow-Origin,