Loading
Настройка и обслуживание организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Защита от кликджекинга

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Настройка и обслуживание организации Salesforce

            Защита от кликджекинга

            Salesforce предоставляет параметры защиты от кликджекинга для защиты организации от атак по исправлению пользовательского интерфейса.

            Управление именем

            Защита от кликджекинга

            Рекомендованная конфигурация

            • Включить защиту от кликджекинга для страниц настройки
            • Включение защиты от кликджекинга для страниц Salesforce, не связанных с настройкой
            • Включение защиты от кликджекинга для клиентских страниц Visualforce со стандартными заголовками
            • Включение защиты от кликджекинга для клиентских страниц Visualforce с отключенными заголовками

            Настройка>Параметры сеанса>Защита от кликджекинга>Включите все параметры защиты от кликджекинга.

            Общие сведения о контроле

            Чтобы защитить организацию от атак по исправлению пользовательского интерфейса, Salesforce предоставляет параметры защиты от кликджекинга, предотвращающие встраивание вредоносными веб-сайтами страниц Salesforce, например, настройки или настраиваемых страниц Visualforce, в невидимую iframe.

            Риск безопасности, если он не настроен

            Если защита от кликджекинга не включена, пользователи подвергаются атакам возмещения пользовательского интерфейса, когда взломщик встраивает страницы Salesforce в невидимую iframe на вредоносном сайте, чтобы заставить их выполнить непреднамеренные действия, например, удалить записи или предоставить полномочия. Эта оплошность создает высокий риск несанкционированного изменения данных и компрометации организации, поскольку законные взаимодействия пользователей перехватываются для выполнения вредоносных команд без Knowledge пользователя.

            Сценарии угроз

            Злоумышленник заманивает проверенного пользователя Salesforce на вредоносный веб-сайт, на котором размещена невидимая iframe конфиденциальной страницы Salesforce, например, экран деактивации пользователя или удаления записи, напрямую посредством кнопки приманки типа «Получить приз». Когда пользователь нажимает на приманку, он неосознанно выполняет скрытую команду Salesforce, что может привести к несанкционированному удалению важных данных клиента или повышению полномочий системы самого злоумышленника без видимого предупреждения.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Воздействие основного риска связано с критическим нарушением конфиденциальности данных и целостности системы, когда использование несмягченных уязвимостей приводит к несанкционированному извлечению данных, мошенническим административным действиям и серьезному несоответствию нормативным требованиям.

            Повышенный риск при

            Риск значительно возрастает из-за слишком мягкого списка надежных доменов, который может позволить ненадежным или скомпрометированным внешним сайтам обходить ограничения кадрирования и размещать невидимые компоненты Salesforce. Кроме того, игнорирование включения защиты от кликджекинга для настраиваемых страниц Visualforce или сайтов Experience Cloud при обеспечении только внутренней настройки создает уязвимый "бэкдор" для злоумышленников, нацеленных на неадминистративных пользователей.

            Низкий или нулевой риск при

            Чтобы минимизировать риски кликджекинга, организации могут использовать надежные домены для встроенных рамок для явного добавления в белый список только авторизованных внешних сайтов, обеспечивая ограничение кадрирования известными безопасными средами. Кроме того, внедрение веб-компонентов Lightning (LWC) с безопасными интеграциями API позволяет обрабатывать собственные данные без использования iframe, эффективно устраняя основной вектор атаки при сохранении модели наименьших привилегий для ограничения потенциального ущерба от любых случайно перехваченных кликов.

            Рекомендации по бизнесу и интеграции

            Внедрение защиты от кликджекинга требует комплексного аудита всех внешних порталов и сторонних приложений, которые объединяют страницы Salesforce для обеспечения их корректного добавления в список разрешенных, поскольку чрезмерно ограничительные параметры могут нарушить важные для бизнеса интеграции и бизнес-правила, ориентированные на клиентов.

            Рекомендованное исправление

            Включите защиту от кликджекинга в параметрах сеанса Salesforce.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности проверяет настройки параметров сеанса организации, чтобы проверить включение защиты от кликджекинга в соответствии с рекомендациями.

            См. также:

             
            Загрузка
            Salesforce Help | Article