Loading
Настройка и обслуживание организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            API-доступ

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Настройка и обслуживание организации Salesforce

            API-доступ

            Этот элемент управления удаляет полномочие системы «API включен» из непроверенных профилей пользователей-гостей.

            Управление именем

            API-доступ

            Рекомендованная конфигурация

            Отключите API-доступ в профиле пользователя-гостя.

            Общие сведения о контроле

            Этот элемент управления удаляет полномочие системы «API включен» из непроверенных профилей пользователей-гостей, предотвращая доступ анонимных пользователей к данным Salesforce посредством программных интерфейсов, например, REST или SOAP API.

            Риск безопасности, если он не настроен

            Если данный параметр включен, анонимный взломщик может использовать стандартные конечные точки Salesforce API для систематического изучения метаданных организации и попытки извлечения записей, которые могут быть случайно открыты посредством правил общего доступа.

            Сценарии угроз

            Вредоносный исполнитель использует сценарий для сканирования конечных точек общедоступного сайта, обнаружения имен конфиденциальных объектов или полей и загрузки всех записей, к которым у него есть доступ «Чтение», без необходимости входа.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Разрешение доступа к API непроверенным пользователям значительно повышает риск широкомасштабного извлечения данных и автоматического «списания» вашей организации, что может привести к серьезным нарушениям конфиденциальности и штрафам регулятора.

            Повышенный риск при

            Если профиль пользователя-гостя имеет доступ «Чтение» к объектам, содержащим персональные данные (PII), или если параметр «Безопасный доступ к записи пользователя-гостя» был пропущен вручную.

            Низкий риск при

            Если компания уже ограничила пользователя-гостя нулевыми полномочиями объекта и внедрила модель общего доступа «Личный», которая по умолчанию запрещает доступ ко всем записям.

            Рекомендации по бизнесу и интеграции

            Отключение этого полномочия может нарушить настраиваемые компоненты frontend или внешние интеграции, зависящие от выполнения непроверенных вызовов API на сайт для отображения общедоступных сведений, например, каталогов продуктов или расположений магазинов.

            Рекомендованное исправление

            • 1. Снимите флажок «Разрешить пользователям-гостям доступ к общедоступным API» в параметрах сайта.
            • 2. Снимите флажок «API включен» в профиле гостя.

            Руководство по проверке состояния безопасности

            Обзор состояния безопасности определяет удаление API-доступа гостя в качестве обязательного шага для уменьшения доступной поверхности атаки, убедившись, что общедоступные сайты предоставляют данные только посредством компонентов авторизованного пользовательского интерфейса, а не открытых программных каналов.

            См. также:

             
            Загрузка
            Salesforce Help | Article