您位於此處:
設定 OAuth 原則:管理外部用戶端應用程式的起始 URL
此安全性設定可讓 Salesforce 管理員定義並驗證在完成外部用戶端應用程式的 OAuth 授權流程後,將使用者導向至其中的特定登陸頁面 URL。
控制名稱
外部用戶端應用程式:設定 OAuth 原則:管理外部用戶端應用程式的起始 URL
建議組態
管理外部用戶端應用程式的「起始 URL」。
控制概觀
此安全性設定可讓 Salesforce 管理員定義並驗證在完成外部用戶端應用程式的 OAuth 授權流程後,將使用者導向至其中的特定登陸頁面 URL。
未設定安全性風險
外部用戶端應用程式的未驗證啟動 URL 會導致開放重新導向網路釣魚攻擊的漏洞,其中會操作合法的 Salesforce 進入點,將使用者轉送至惡意的外部網域。
威脅情況
攻擊者會建立包含 rogue start URL 參數的特殊格式登入連結,並在成功登入 Salesforce 後立即將已驗證的使用者引導至虛假認證收集網站。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法限制重新導向目標,進而促進利用 Salesforce 網域的 Trust 來破壞使用者認證或散佈惡意軟體的複雜社交工程行銷活動。
風險愈高時機
當外部用戶端應用程式由高權限管理員使用,或當公司缺少已知惡意網域的全域封鎖清單時。
低度風險時機
如果公司已在 Salesforce CSP 和 CORS 設定內設定受限制的重新導向允許清單,以防止未經授權的輸出瀏覽。
業務與整合考量事項
實作固定起始 URL 可確保一致且具品牌的使用者體驗,但如果目標應用程式的內部目錄結構變更,則需要更新。
建議的補救措施
前往「外部用戶端應用程式的設定」,並定義特定且經過驗證的「起始 URL」,以確保所有後授權流量都會路由至信任的目的地。
安全性健康檢閱指南
Security Health Review 將重新導向目標管理識別為強烈建議的標準,可防止網路釣魚濫用信任身分驗證流程,並維護使用者瀏覽路徑的完整性。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
