Cross-Site Request Forgery (CSRF)-Schutz

Steuerelementname

CSRF-Schutz

Empfohlene Konfiguration

• CSRF-Schutz für GET-Anforderungen auf nicht der Einrichtung dienenden Seiten aktivieren
• CSRF-Schutz für POST-Anforderungen auf nicht der Einrichtung dienenden Seiten aktivieren

Setup>Sitzungseinstellungen>CSRF-Schutz (Cross-Site Request Forgery)>Alle Optionen aktivieren.

Steuerelementübersicht

Durch Aktivieren des CSRF-Schutzes in den Salesforce-Sitzungseinstellungen wird Ihre Umgebung geschützt, indem auf Nicht-Setup-Seiten in jede Statusänderungsanforderung (z. B. POST) ein eindeutiges, kryptographisch zufälliges Token eingefügt wird.

Die Plattform validiert dieses Token dann anhand der aktiven Sitzung des Benutzers, um sicherzustellen, dass die Anforderung aus einer legitimen Benutzerinteraktion stammt, und verhindert so effektiv, dass bösartige Websites einen Browser dazu verleiten, nicht autorisierte Befehle im Namen des Benutzers auszuführen.

Sicherheitsrisiko, wenn nicht konfiguriert

Durch das Deaktivieren des CSRF-Schutzes wird Ihre Salesforce-Umgebung anfällig für Cross-Site Request Forgery-Angriffe (CSRF), bei denen eine bösartige Website den Browser eines Benutzers dazu verleiten kann, nicht autorisierte Befehle auszuführen, die den Zustand ändern, beispielsweise Datensätze löschen oder Sicherheitseinstellungen ändern, ohne sein Knowledge zu benötigen. Da diese Anforderungen die Berechtigungen des authentifizierten Benutzers übernehmen, kann ein Angriff gegen einen Verwaltungsaccount zu einer vollständigen Kompromittierung der Daten und Konfiguration der Organisation führen.

Bedrohungsszenarien

In einem typischen Bedrohungsszenario verleitet ein Angreifer einen authentifizierten Salesforce-Benutzer dazu, eine bösartige Website aufzurufen oder auf einen Link zu klicken, der eine ausgeblendete Site-übergreifende Anforderung an Ihre Salesforce-Instanz auslöst.

Da der Browser automatisch die aktiven Sitzungscookies des Benutzers enthält, führt Salesforce den Befehl legitimerweise aus, da kein gültiges Anti-CSRF-Token zur Überprüfung des Ursprungs der Anforderung vorhanden ist. Dadurch kann der Angreifer möglicherweise Datensätze löschen, Sicherheitskonfigurationen ändern oder seine eigenen Berechtigungen ohne Knowledge des Benutzers eskalieren.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Die Risikoauswirkungen umfassen einen vollständigen Kompromiss aus Datenvertraulichkeit und Integrität, bei dem nicht autorisierte Akteure Verwaltungsmaßnahmen ausführen oder sensible Informationen abrufen können, was zu katastrophalen finanziellen, rechtlichen und Ansehensschäden führt.

Höheres Risiko, wenn

Abgesehen von den bereits diskutierten Einstellungen verstärken Fehlkonfigurationen wie das Deaktivieren von "Sitzungen für die IP-Adresse sperren, von der sie stammen" und "Clickjack-Schutz aktivieren" Ihr Risikoprofil erheblich.

Ohne IP-Sperrung kann eine gekaperte Sitzungs-ID oder Daten, die aus dem persistenten Cache eines Browsers stammen, von einem Angreifer an jedem beliebigen Ort verwendet werden. Dagegen ermöglicht der deaktivierte Clickjack-Schutz es bösartigen Sites, unsichtbare Frames in Ihrer Salesforce-Organisation zu überlagern, wodurch Benutzer dazu verleitet werden, Aktionen auszuführen, die die CSRF-Schutzmaßnahmen umgehen. Wenn Sie lange Sitzungs-Timeouts beibehalten oder "Abmeldung bei Sitzungs-Timeout erzwingen" fehlschlägt, erweitert sich zudem das Zeitfenster, in dem Angreifer diese Schwachstellen auf unbeaufsichtigten oder freigegebenen Workstations ausnutzen können.

Geringes oder kein Risiko, wenn

Wenn Sie diese Risiken minimieren möchten, wenn primäre Sitzungs- oder Cache-Steuerelemente fehlen, implementieren Sie die Multi-Faktor-Authentifizierung (MFA) und IP-Bereichseinschränkungen, um sicherzustellen, dass eine Sitzung, selbst wenn sie gekapert oder zwischengespeicherte Daten offengelegt werden, nicht einfach von einem nicht vertrauenswürdigen Gerät oder Standort aus verwendet werden kann.

Darüber hinaus können Sie mithilfe der Salesforce Shield-Ereignisüberwachung und der strengen Objekt-/Feldebenensicherheit anomale Datenexporte in Echtzeit erkennen und gleichzeitig sicherstellen, dass serverseitige Berechtigungen nicht autorisierte Aktionen verhindern, selbst wenn ein Front-End-CSRF- oder Cache-basierter Angriff versucht wird.

Überlegungen zu Unternehmen und Integration

Für die Implementierung dieser Steuerelemente muss ein Gleichgewicht zwischen erhöhter Sicherheit und Systeminteroperabilität hergestellt werden, da strenge CSRF- und Sitzungserzwingung veraltete Integrationen, iFrames von Drittanbietern oder benutzerdefinierte API-Workflows unterbrechen kann, die keine automatisierten Sicherheitstoken nativ verarbeiten.

Empfohlene Sanierung

Aktivieren Sie den CSRF-Schutz in den Sitzungseinstellungen.

Anleitung zur Sicherheitsintegritätsprüfung

Die Sicherheitsintegritätsüberprüfung überprüft die Sitzungseinstellungen, um sicherzustellen, dass der Schutz für Cross-Site Request Forgery (Site-übergreifende Anforderungsfälschung) in Übereinstimmung mit bewährten Vorgehensweisen für die Sicherheit aktiviert ist.