Loading
Uw Salesforce-organisatie instellen en onderhouden
Inhoudsopgave
Filteren op (0)Toevoegen
Filters selecteren

          Geen resultaten
          Geen resultaten
          Hier zijn enkele zoektips

          Controleer de spelling van uw trefwoorden.
          Gebruik meer algemene zoektermen.
          Verwijder filters om uw zoekopdracht uit te breiden.

            De Help van Salesforce volledig doorzoeken
            De Help van Salesforce volledig doorzoeken
            Bescherming tegen klikkapingen (clickjacking)

            U bent hier:

            1. Help van Salesforce
            2. Documenten
            3. Uw Salesforce-organisatie instellen en onderhouden

            Bescherming tegen klikkapingen (clickjacking)

            Salesforce biedt instellingen voor bescherming tegen klikkapingen (clickjacking) om uw organisatie te beschermen tegen UI-herstelaanvallen.

            Controlenaam

            Bescherming tegen klikkapingen (clickjacking)

            Aanbevolen configuratie

            • Bescherming tegen klikkapingen (clickjacking) inschakelen voor Set-up-pagina's
            • Bescherming tegen klikkapingen (clickjacking) inschakelen voor niet-Set-up Salesforce-pagina's
            • Bescherming tegen klikkapingen (clickjacking) inschakelen voor Visualforce pagina's van klanten met standaard headers
            • Bescherming tegen klikkapingen (clickjacking) inschakelen voor Visualforce pagina's van klanten met headers uitgeschakeld

            Set-up>Sessie-instellingen>Bescherming tegen klikkapingen>Alle opties voor bescherming tegen klikkapingen inschakelen.

            Overzicht van besturingselementen

            Om uw organisatie te beschermen tegen UI-herstelaanvallen biedt Salesforce instellingen voor Bescherming tegen klikkapingen (clickjacking) die voorkomen dat kwaadwillende websites uw Salesforce-pagina's, zoals Set-up of aangepaste Visualforce pagina's, inbedden in een onzichtbaar iframe.

            Beveiligingsrisico indien niet geconfigureerd

            Als u bescherming tegen klikkapingen (clickjacking) niet inschakelt, worden uw gebruikers blootgesteld aan UI Redress-aanvallen, waarbij een aanvaller uw Salesforce-pagina's inbedt in een onzichtbaar iframe op een kwaadwillende site om ze ertoe te verleiden onbedoelde acties uit te voeren, zoals records verwijderen of machtigingen verlenen. Dit toezicht leidt tot een hoog risico op ongeoorloofde gegevenswijziging en accountcompromittering, aangezien legitieme gebruikersinteracties worden gekaapt om kwaadaardige opdrachten uit te voeren zonder dat de gebruiker hiervan Knowledge heeft.

            Dreigingsscenario's

            Een aanvaller lokt een geauthenticeerde Salesforce-gebruiker naar een kwaadaardige website die een onzichtbaar iframe van een gevoelige Salesforce-pagina host, zoals een scherm Gebruikersdeactivering of Recordverwijdering, rechtstreeks via een lokknop zoals "Claim uw prijs". Wanneer de gebruiker op de lok klikt, voert hij of zij onbewust de verborgen Salesforce-opdracht uit, wat mogelijk resulteert in het ongeoorloofd verwijderen van kritieke klantgegevens of het verhogen van de systeemmachtigingen van een aanvaller zonder zichtbare waarschuwing.

            Geschatte CVSS-scorebereik

            Kritiek (9,0–10,0).

            Overwegingen bij risico-impact

            De kernrisico-impact is een kritiek compromis tussen gegevensvertrouwelijkheid en systeemintegriteit, waarbij de exploitatie van niet-verzachtende kwetsbaarheden leidt tot ongeoorloofde gegevensexfiltratie, frauduleuze administratieve acties en ernstige niet-naleving van regelgeving.

            Hoger risico wanneer

            Het risico wordt aanzienlijk vergroot door een te tolerante lijst Vertrouwde domeinen, waardoor niet-vertrouwde of gecompromitteerde externe sites framebeperkingen kunnen omzeilen en onzichtbare Salesforce-componenten kunnen hosten. Als u bovendien de bescherming tegen klikkapingen (clickjacking) voor aangepaste Visualforce pagina's of Experience Cloud-sites verwaarloost en alleen de interne set-up beveiligt, ontstaat er een kwetsbare "achterdeur" voor aanvallers om zich te richten op niet-beheerders.

            Laag of geen risico wanneer

            Om het risico op klikkapingen te minimaliseren, kunnen organisaties vertrouwde domeinen voor inline frames gebruiken om alleen geautoriseerde externe sites expliciet op de whitelist te zetten, zodat framing wordt beperkt tot bekende veilige omgevingen. Daarnaast zorgt het gebruik van Lightning Web Components (LWC) met veilige API-integraties voor native gegevensweergave zonder de noodzaak van iframes, waardoor de primaire aanvalsvector effectief wordt geëlimineerd en tegelijkertijd een model met de minste rechten wordt gehandhaafd om de potentiële schade van per ongeluk gekaapte klikken te beperken.

            Overwegingen bij bedrijf en integratie

            Het implementeren van bescherming tegen klikkapingen vereist een uitgebreide controle van alle externe portals en externe toepassingen die Salesforce-pagina's in een iframe plaatsen, om ervoor te zorgen dat ze correct zijn toegestaan, aangezien te beperkende instellingen bedrijfskritieke integraties en klantgerichte werkstromen kunnen verstoren.

            Aanbevolen oplossing

            Schakel de bescherming tegen klikkapingen in Salesforce-sessie-instellingen in.

            Begeleiding bij beoordeling van beveiligingstoestand

            Beoordeling van beveiligingstoestand inspecteert de set-up van sessie-instellingen van de organisatie om te controleren of bescherming tegen klikkapingen is ingeschakeld in overeenstemming met best practices.

            Zie ook:

             
            Wordt geladen
            Salesforce Help | Article