U bent hier:
Bescherming tegen sniffing van inhoud
Om te voorkomen dat browsers bestanden onjuist interpreteren als uitvoerbare scripts, moeten Salesforce-beheerders "Bescherming tegen sniffing van inhoud inschakelen" inschakelen in het menu Sessie-instellingen.
Controlenaam
Bescherming tegen sniffing van inhoud
Aanbevolen configuratie
- Bescherming tegen sniffing van inhoud inschakelen
Set-up>Sessie-instellingen>Bescherming tegen sniffing van inhoud.
Overzicht van besturingselementen
Om te voorkomen dat browsers bestanden onjuist interpreteren als uitvoerbare scripts, moeten Salesforce-beheerders "Bescherming tegen sniffing van inhoud inschakelen" inschakelen in het menu Sessie-instellingen om de koptekst X-Content-Type-Options: nosniff af te dwingen.
Beveiligingsrisico indien niet geconfigureerd
Als u Bescherming tegen sniffing van inhoud niet inschakelt, kunnen browsers het gedeclareerde bestandstype van de server negeren en het MIME-type "raden" op basis van de inhoud van een bestand, waardoor een kwetsbaarheid ontstaat waardoor een browser een onschadelijk uitziend bestand (zoals een afbeeldings- of tekstbestand) kan uitvoeren als een kwaadwillig script. Dit toezicht vergroot het risico op Cross-Site Scripting (XSS) en drive-by downloadaanvallen aanzienlijk.
Dreigingsscenario's
Een aanvaller uploadt een kwaadwillende JavaScript-payload vermomd als een onschadelijk .png- of .txt-bestand naar een Salesforce-case of Experience Cloud-portal. Zonder bescherming tegen het sniffen van inhoud ingeschakeld, "raadt" de browser van een nietsvermoedende gebruiker de ware aard van het bestand en voert het verborgen script uit, waardoor de aanvaller stilletjes de actieve sessiecookies van de gebruiker kan stelen en gevoelige gegevens kan exfiltreren.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
N.v.t.
Hoger risico wanneer
Het risico van MIME-sniffing wordt aanzienlijk verergerd door het ontbreken van een robuust Content Security Policy (CSP), dat anders zou dienen als secundaire verdediging om de uitvoering van ongeautoriseerde scripts te blokkeren.
Laag of geen risico wanneer
Om de afwezigheid van bescherming tegen het sniffen van inhoud te compenseren, moeten organisaties een strikt Content Security Policy (CSP) implementeren, dat expliciet de uitvoering van niet-geverifieerde of inline scripts blokkeert en als secundaire firewall fungeert tegen "sniffed" payloads.
Het implementeren van geautomatiseerde malware en scannen van bestandstypen voor alle uploads zorgt er ook voor dat kwaadaardige bestanden—scripts vermomd als afbeeldingen—worden onderschept en geneutraliseerd voordat een browser ooit de kans krijgt om ze verkeerd te interpreteren.
Overwegingen bij bedrijf en integratie
N.v.t.
Aanbevolen oplossing
Schakel bescherming tegen sniffing van inhoud in.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand inspecteert de configuratie van Sessie-instellingen om te controleren of Bescherming tegen sniffing van inhoud is ingeschakeld, in overeenstemming met de best practice in de sector.
