您在此处:
配置 OAuth 策略:管理外部客户端应用程序的开始 URL
此安全设置允许 Salesforce 管理员在完成外部客户端应用程序的 OAuth 授权过程后定义和验证用户被定向到的特定登录页面 URL。
控件名称
外部客户端应用程序:配置 OAuth 策略:管理外部客户端应用程序的开始 URL
推荐配置
管理外部客户端应用程序的开始 URL。
控制概览
此安全设置允许 Salesforce 管理员在完成外部客户端应用程序的 OAuth 授权过程后定义和验证用户被定向到的特定登录页面 URL。
安全风险(如果未配置)
外部客户端应用程序的未验证起始 URL 会导致漏洞,从而受到开放式重定向网络钓鱼攻击,其中合法的 Salesforce 入口点被操纵,将用户转发到恶意的外部域。
威胁场景
攻击者精心设计了一个包含恶意开始 URL 参数的特制登录链接,并在成功登录 Salesforce 后立即将经过身份验证的用户引向欺骗的凭据获取站点。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不限制重定向目标会助长复杂的社交工程活动,这些活动利用 Salesforce 域的Trust来危害用户凭据或分发恶意软件。
高风险
当高权限管理员使用外部客户端应用程序时,或者当公司缺少已知恶意域的全局阻止列表时。
低风险
如果公司已在 Salesforce CSP 和 CORS 设置中配置受限重定向允许列表,以防止未经授权的出站导航。
业务和集成注意事项
实施固定起始 URL 可确保一致的品牌化用户体验,但如果目标应用程序的内部目录结构发生变化,则需要更新。
建议的补救措施
转到外部客户端应用程序的设置,并定义特定的经过验证的开始 URL,以确保所有授权后流量都被路由到受信目标。
安全健康审查指导
安全健康审查将重定向目标的管理确定为强烈建议的标准,以防止滥用受信任的身份流进行网络钓鱼,并保持用户导航路径的完整性。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
