교차 사이트 요청 위조(CSRF) 방지

제어 이름

CSRF 방어

권장 구성

• 미설정 페이지에서 GET 요청에 대한 CSRF 방어 활성화
• 미설정 페이지에서 POST 요청에 대한 CSRF 방어 활성화

설정>세션 설정>교차 사이트 요청 위조(CSRF) 보호>모든 옵션 활성화

제어 개요

Salesforce 세션 설정에서 CSRF 방어를 활성화하면 비설정 페이지의 모든 상태 변경 요청(예: POST)에 암호화된 고유한 무작위 토큰을 삽입하여 환경을 안전하게 보호할 수 있습니다.

그러면 플랫폼이 사용자의 활성 세션에 대해 이 토큰을 확인하여 요청이 합법적인 사용자 상호 작용에서 시작되었는지 확인하여 악성 웹 사이트가 브라우저를 속여 사용자를 대신하여 무단 명령을 실행하는 것을 효과적으로 방지합니다.

구성되지 않은 경우 보안 위험

CSRF 보호를 비활성화하면 Salesforce 환경이 크로스 사이트 요청 위조(CSRF) 공격에 취약해질 수 있습니다. 그러면 악성 웹 사이트가 사용자의 Knowledge 없이 권한이 없는 상태 변경 명령(예: 레코드 삭제 또는 보안 설정 수정)을 실행하도록 사용자의 브라우저를 속일 수 있습니다. 이러한 요청은 인증된 사용자의 권한을 상속하므로 관리자 계정에 대한 공격으로 인해 조직의 데이터 및 구성이 완전히 손상될 수 있습니다.

위협 시나리오

일반적인 위협 시나리오에서 공격자는 인증된 Salesforce 사용자가 악성 웹 사이트를 방문하거나 Salesforce 인스턴스에 대해 숨겨진 교차 사이트 요청을 트리거하는 링크를 클릭하도록 속임수로 만듭니다.

브라우저에 사용자의 활성 세션 쿠키가 자동으로 포함되므로 요청의 출처를 확인할 유효한 안티 CSRF 토큰이 없는 Salesforce는 명령을 합법적으로 실행하므로 공격자가 사용자의 Knowledge 없이 레코드를 삭제하거나 보안 구성을 수정하거나 자체 권한을 에스컬레이션할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

위험 영향에는 데이터 기밀성 및 무결성에 대한 전체적인 손상이 포함됩니다. 그러면 무단 작업자가 관리 작업을 실행하거나 민감한 정보를 수집하여 재앙적인 재정, 법률, 평판 손상이 발생할 수 있습니다.

위험이 높은 경우

이미 논의된 설정 외에도 "세션이 시작된 IP 주소로 세션 잠금" 및 "클릭잭 방어 활성화" 비활성화와 같은 잘못된 구성은 위험 프로필을 크게 강화합니다.

IP 잠금을 사용하지 않으면 하이재킹된 세션 ID 또는 브라우저의 영구 캐시에서 수집된 데이터를 모든 위치의 공격자가 사용할 수 있으며, 클릭잭 방어를 비활성화하면 악성 사이트가 Salesforce 조직에 표시되지 않는 프레임을 오버레이하여 사용자가 CSRF 보안 방어를 우회하는 작업을 수행하도록 속일 수 있습니다. 또한 세션 시간 초과를 길게 유지하거나 "세션 시간 초과 시 강제 로그아웃"에 실패하면 공격자가 비관리 또는 공유 워크스테이션에서 해당 취약성을 활용할 수 있는 기회 창이 확장됩니다.

낮은 위험 또는 비위험

기본 세션 또는 캐시 컨트롤이 누락된 경우 이러한 위험을 최소화하기 위해 MFA(다단계 인증) 및 IP 범위 제한을 구현하여 세션이 하이재킹되거나 캐시된 데이터가 노출되는 경우에도 신뢰할 수 없는 장치 또는 위치에서 쉽게 활용할 수 없도록 합니다.

또한 Salesforce Shield 이벤트 모니터링 및 엄격한 개체/필드 수준 보안을 사용하면 프런트엔드 CSRF 또는 캐시 기반 공격이 시도되는 경우에도 서버측 권한을 통해 무단 작업을 방지할 수 있습니다.

비즈니스 및 통합 고려 사항

이러한 제어를 구현하려면 고급 보안과 시스템 상호 운용성의 균형을 맞추어야 합니다. 엄격한 CSRF 및 세션 적용으로 인해 자동화된 보안 토큰을 기본적으로 처리하지 않는 레거시 통합, 타사 iFrames 또는 사용자 정의 API 워크플로가 중단될 수 있습니다.

권장 수정

세션 설정에서 CSRF 방어를 활성화합니다.

보안 상태 검토 지침

보안 상태 검토는 세션 설정을 검사하여 보안 모범 사례에 따라 교차 사이트 요청 위조 방어가 활성화되어 있는지 확인합니다.