Loading
Безопасность организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Управление защитой от подделки межсайтовых запросов (CSRF)

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Безопасность организации Salesforce

            Управление защитой от подделки межсайтовых запросов (CSRF)

            Включите защиту CSRF в параметрах сеанса Salesforce, чтобы защитить среду.

            Управление именем

            Защита CSRF

            Рекомендованная конфигурация

            • Включить защиту CSRF для запросов GET на страницах, не связанных с настройкой
            • Включить защиту CSRF для запросов POST на страницах, не связанных с настройкой

            Настройка>Параметры сеанса>Защита от подделки межсайтовых запросов (CSRF)>Включить все параметры.

            Общие сведения о контроле

            Включение защиты CSRF в параметрах сеанса Salesforce обеспечивает безопасность среды путем добавления уникального криптографически случайного маркера в каждый запрос изменения состояния (например, POST) на страницах, не связанных с настройкой.

            Платформа потом проверяет этот маркер относительно активного сеанса пользователя, чтобы убедиться, что запрос исходит из легитимного взаимодействия пользователя, эффективно предотвращая обман вредоносных веб-сайтов, заставляющих обозреватель выполнять несанкционированные команды от имени пользователя.

            Риск безопасности, если он не настроен

            Отключение защиты CSRF делает вашу среду Salesforce уязвимой для атак подделки межсайтовых запросов (CSRF), где вредоносный веб-сайт может обманом заставить обозреватель пользователя выполнять несанкционированные команды, изменяющие состояние (например, удаление записей или изменение параметров безопасности) без Knowledge. Поскольку эти запросы наследуют полномочия проверенного пользователя, атака на административную организацию может привести к полному взлому данных и конфигурации организации.

            Сценарии угроз

            В типичном сценарии угрозы взломщик обманом заставляет проверенного пользователя Salesforce посетить вредоносный веб-сайт или нажать на ссылку, инициирующую скрытый межсайтовый запрос к экземпляру Salesforce.

            Поскольку обозреватель автоматически включает активные cookie-файлы сеанса пользователя, Salesforce — без допустимого анти-маркера CSRF для проверки происхождения запроса — законно выполняет команду, потенциально позволяя злоумышленнику удалять записи, изменять конфигурации безопасности или расширять собственные привилегии без Knowledge пользователя.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Влияние риска включает полное нарушение конфиденциальности и целостности данных, когда неавторизованные субъекты могут выполнять административные действия или собирать конфиденциальную информацию, что приводит к катастрофическому финансовому, юридическому и репутационному ущербу.

            Повышенный риск при

            Помимо уже обсуждавшихся параметров, неправильные конфигурации, например, отключение «Блокировка сеансов по IP-адресу, с которого они были инициированы» и «Включение защиты от кликджекинга» значительно увеличивают профиль риска.

            Без блокировки IP-адреса перехваченный код сеанса или данные, собранные из постоянного кэша обозревателя, могут использоваться злоумышленником из любого расположения, в то время как отключенная защита от кликджекинга позволяет вредоносным сайтам накладывать невидимые рамки на организацию Salesforce, обманывая пользователей и вынуждая их выполнять действия в обход гарантий CSRF. Кроме того, сохранение продолжительного времени ожидания сеанса или неудачное выполнение действия «Принудительный выход по истечении времени ожидания сеанса» расширяет окно возможности для использования этих уязвимостей на необслуживаемых или общедоступных рабочих станциях.

            Низкий или нулевой риск при

            Чтобы минимизировать эти риски при отсутствии основного управления сеансом или кэшем, внедрите ограничения многофакторной проверки подлинности (MFA) и диапазона IP-адресов, чтобы обеспечить, что даже если сеанс перехвачен или кэшированные данные открыты, их невозможно легко использовать с ненадежного устройства или расположения.

            Кроме того, использование Salesforce Shield Event Monitoring и строгой безопасности объекта/поля позволяет обнаруживать аномалии экспорта данных в режиме реального времени, обеспечивая, что полномочия сервера предотвращают несанкционированные действия даже при попытке атаки на основе CSRF или кэша.

            Рекомендации по бизнесу и интеграции

            Внедрение этих элементов управления требует баланса между повышенной безопасностью и совместимостью системы, поскольку строгая CSRF и внедрение сеансов могут нарушить устаревшие интеграции, сторонние iFrame или настраиваемые бизнес-процессы API, которые не обрабатывают автоматические маркеры безопасности.

            Рекомендованное исправление

            Включите защиту CSRF в параметрах сеанса.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности проверяет параметры сеанса, чтобы проверить включение защиты от подделки межсайтовых запросов в соответствии с рекомендациями по безопасности.

            См. также:

             
            Загрузка
            Salesforce Help | Article