Loading
Uw Salesforce-organisatie instellen en onderhouden
Inhoudsopgave
Filteren op (0)Toevoegen
Filters selecteren

          Geen resultaten
          Geen resultaten
          Hier zijn enkele zoektips

          Controleer de spelling van uw trefwoorden.
          Gebruik meer algemene zoektermen.
          Verwijder filters om uw zoekopdracht uit te breiden.

            De Help van Salesforce volledig doorzoeken
            De Help van Salesforce volledig doorzoeken
            Bescherming tegen Cross-Site Request Forgery (CSRF)

            U bent hier:

            1. Help van Salesforce
            2. Documenten
            3. Uw Salesforce-organisatie instellen en onderhouden

            Bescherming tegen Cross-Site Request Forgery (CSRF)

            Schakel CSRF-bescherming in Salesforce-sessie-instellingen in om uw omgeving te beveiligen.

            Controlenaam

            CSRF-beveiliging

            Aanbevolen configuratie

            • CSRF-beveiliging voor GET-verzoeken inschakelen op niet-Set-uppagina's
            • CSRF-beveiliging voor POST-verzoeken inschakelen op niet-Set-uppagina's

            Set-up>Sessie-instellingen>CSRF-bescherming (Cross-Site Request Forgery)>Alle opties inschakelen.

            Overzicht van besturingselementen

            Als u CSRF-bescherming inschakelt in Salesforce-sessie-instellingen, wordt uw omgeving beveiligd door een uniek, cryptografisch willekeurig token te injecteren in elk verzoek om statuswijziging (zoals POST) op niet-set-uppagina's.

            Het platform valideert dit token vervolgens op basis van de actieve sessie van de gebruiker om er zeker van te zijn dat het verzoek afkomstig is van een legitieme gebruikersinteractie, waardoor kwaadwillende websites in feite voorkomen dat een browser ongeoorloofde opdrachten namens de gebruiker uitvoert.

            Beveiligingsrisico indien niet geconfigureerd

            Als u CSRF-bescherming uitschakelt, is uw Salesforce-omgeving kwetsbaar voor Cross-Site Request Forgery-aanvallen (CSRF-aanvallen), waarbij een kwaadwillende website de browser van een gebruiker kan misleiden om ongeoorloofde, van staat veranderende opdrachten uit te voeren, zoals het verwijderen van records of wijzigen van beveiligingsinstellingen, zonder dat deze hiervan Knowledge heeft. Omdat deze verzoeken de machtigingen van de geauthenticeerde gebruiker overnemen, kan een aanval op een beheeraccount leiden tot een totale aantasting van de gegevens en configuratie van de organisatie.

            Dreigingsscenario's

            In een normaal dreigingsscenario verleidt een aanvaller een geauthenticeerde Salesforce-gebruiker tot een bezoek aan een kwaadaardige website of het klikken op een koppeling die een verborgen, cross-site verzoek naar uw Salesforce-exemplaar activeert.

            Aangezien de browser automatisch de actieve sessiecookies van de gebruiker bevat, voert Salesforce, zonder een geldig anti-CSRF-token om de herkomst van het verzoek te verifiëren, de opdracht legitiem uit, waardoor de aanvaller mogelijk records kan verwijderen, beveiligingsconfiguraties kan wijzigen of zijn of haar eigen machtigingen kan escaleren zonder dat de gebruiker hiervan Knowledge heeft.

            Geschatte CVSS-scorebereik

            Kritiek (9,0–10,0).

            Overwegingen bij risico-impact

            De risico-impact omvat een totaal compromis tussen vertrouwelijkheid en integriteit van gegevens, waarbij niet-geverifieerde actoren administratieve acties kunnen uitvoeren of gevoelige informatie kunnen oogsten, wat kan leiden tot catastrofale financiële, juridische en reputatieschade.

            Hoger risico wanneer

            Naast de reeds besproken instellingen, versterken misconfiguraties zoals het uitschakelen van "Sessies vergrendelen op het IP-adres waaruit ze afkomstig zijn" en "Bescherming tegen klikkapingen inschakelen" uw risicoprofiel aanzienlijk.

            Zonder IP-vergrendeling kan een gekaapte sessie-ID of gegevens die zijn verzameld uit het persistente cachegeheugen van een browser, vanaf elke locatie door een aanvaller worden gebruikt, terwijl kwaadwillende sites via uitgeschakelde bescherming tegen klikkapingen onzichtbare frames over uw Salesforce-organisatie kunnen leggen, waardoor gebruikers acties kunnen uitvoeren die CSRF-beveiligingen omzeilen. Bovendien breidt het handhaven van lange sessietime-outs of het niet afdwingen van uitloggen bij sessietime-out de kans voor een aanvaller uit om deze kwetsbaarheden te misbruiken op onbeheerde of gedeelde werkstations.

            Laag of geen risico wanneer

            Als u deze risico's wilt minimaliseren wanneer primaire sessie- of cachebesturingselementen ontbreken, implementeert u Multi-factorenauthenticatie (MFA) en IP-bereikbeperkingen om ervoor te zorgen dat zelfs als een sessie wordt gekaapt of cachegegevens zichtbaar worden, deze niet gemakkelijk kunnen worden gebruikt vanaf een niet-vertrouwd apparaat of locatie.

            Daarnaast kunt u met Salesforce Shield Event Monitoring en strikte beveiliging op object-/veldniveau abnormale gegevensexports in real-time detecteren en tegelijkertijd ervoor zorgen dat machtigingen aan de serverzijde ongeoorloofde acties voorkomen, zelfs als een front-end CSRF- of cachegebaseerde aanval wordt geprobeerd.

            Overwegingen bij bedrijf en integratie

            Het implementeren van deze besturingselementen vereist een evenwicht tussen verbeterde beveiliging en systeeminteroperabiliteit, aangezien strikte CSRF- en sessieafdwinging verouderde integraties, externe iFrames of aangepaste API-werkstromen die niet automatisch geautomatiseerde beveiligingstokens afhandelen, kan verstoren.

            Aanbevolen oplossing

            Schakel CSRF-bescherming in sessie-instellingen in.

            Begeleiding bij beoordeling van beveiligingstoestand

            Beoordeling van beveiligingstoestand inspecteert de sessie-instellingen om te controleren of de beveiliging tegen Cross-Site Request Forgery is ingeschakeld in overeenstemming met best practices voor beveiliging.

            Zie ook:

             
            Wordt geladen
            Salesforce Help | Article