Protezione dal Cross-Site Request Forgery (CSRF)

Nome controllo

Protezione dal CSRF

Configurazione consigliata

• Abilita la protezione dal CSRF sulle richieste GET per le pagine non di impostazione
• Abilita la protezione dal CSRF sulle richieste POST per le pagine non di impostazione

Imposta>Impostazioni di sessione>Protezione da Cross-Site Request Forgery (CSRF)>Abilitare tutte le opzioni.

Panoramica sul controllo

L'abilitazione della protezione dal CSRF nelle impostazioni di sessione di Salesforce protegge l'ambiente inserendo un token univoco crittografato casuale in ogni richiesta di modifica dello stato (ad esempio POST) nelle pagine non di impostazione.

La piattaforma convalida quindi questo token in base alla sessione attiva dell'utente per garantire che la richiesta provenga da un'interazione utente legittima, impedendo efficacemente ai siti Web dannosi di ingannare un browser per eseguire comandi non autorizzati per conto dell'utente.

Rischio per la sicurezza se non configurato

La disabilitazione della protezione dal CSRF rende l'ambiente Salesforce vulnerabile agli attacchi CSRF (Cross-Site Request Forgery), in cui un sito Web dannoso può indurre il browser di un utente a eseguire comandi non autorizzati che modificano lo stato, ad esempio l'eliminazione di record o la modifica delle impostazioni di protezione, a sua Knowledge. Poiché queste richieste ereditano le autorizzazioni dell'utente autenticato, un attacco contro un account amministrativo potrebbe compromettere completamente i dati e la configurazione dell'organizzazione.

Scenari di minaccia

In uno scenario di minaccia tipico, un aggressore inganna un utente Salesforce autenticato facendogli visitare un sito Web dannoso o facendo clic su un link che attiva una richiesta nascosta tra siti Web all'istanza di Salesforce.

Poiché il browser include automaticamente i cookie di sessione attivi dell'utente, Salesforce, che non dispone di un token anti-CSRF valido per verificare l'origine della richiesta, esegue il comando in modo legittimo, consentendo potenzialmente all'autore dell'attacco di eliminare record, modificare le configurazioni di protezione o inoltrare al livello superiore i propri privilegi all'insaputa dell'utente Knowledge.

Intervallo di punteggi CVSS stimato

Critico (9.0–10.0).

Considerazioni sull'impatto del rischio

L'impatto del rischio comprende una compromissione totale della riservatezza e dell'integrità dei dati, in cui attori non autorizzati possono eseguire azioni amministrative o raccogliere informazioni sensibili, causando danni finanziari, legali e reputazionali catastrofici.

Rischio maggiore quando

Al di là delle impostazioni già discusse, configurazioni errate come la disabilitazione di "Blocca le sessioni all'indirizzo IP da cui hanno avuto origine" e "Abilita protezione dal clickjack" amplificano in modo significativo il profilo di rischio.

Senza il blocco IP, un ID sessione dirottato o i dati raccolti dalla cache persistente di un browser possono essere utilizzati da un aggressore da qualsiasi posizione, mentre la protezione dal clickjack disabilitata consente ai siti dannosi di sovrapporre frame invisibili nell'organizzazione Salesforce, ingannando gli utenti nell'esecuzione di azioni che ignorano le protezioni del CSRF. Inoltre, mantenere lunghi timeout di sessione o non riuscire a "Forza la disconnessione al timeout della sessione" estende la finestra di opportunità per un aggressore di sfruttare queste vulnerabilità su workstation incustodite o condivise.

Rischio basso o nullo quando

Per ridurre al minimo questi rischi quando mancano i controlli principali della sessione o della cache, implementare l'autenticazione a più fattori (MFA) e le restrizioni dell'intervallo IP per garantire che anche se una sessione viene dirottata o i dati memorizzati nella cache vengono esposti, non possano essere facilmente utilizzati da un dispositivo o una posizione non affidabile.

Inoltre, l'utilizzo di Salesforce Shield Event Monitoring e di una rigorosa protezione a livello di oggetto/campo consente di rilevare esportazioni di dati anomale in tempo reale, assicurando al contempo che le autorizzazioni lato server impediscano azioni non autorizzate anche in caso di tentativo di attacco CSRF front-end o basato su cache.

Considerazioni su Business e integrazione

L'implementazione di questi controlli richiede un equilibrio tra sicurezza avanzata e interoperabilità del sistema, poiché una rigorosa applicazione del CSRF e delle sessioni può interrompere le integrazioni legacy, gli iFrame di terze parti o i flussi di lavoro API personalizzati che non gestiscono in modo nativo i token di protezione automatici.

Rimedio consigliato

Abilitare la protezione dal CSRF nelle impostazioni di sessione.

Guida all'esame dello stato della sicurezza

Controllo dello stato della sicurezza esamina le impostazioni della sessione per verificare che la protezione da contraffazione tra richieste sia abilitata in conformità alle procedure consigliate per la sicurezza.