跨網站要求偽造 (CSRF) 保護

控制名稱

CSRF 保護

建議組態

• 啟用未設定頁面 GET 要求的 CSRF 保護
• 啟用未設定頁面 POST 要求的 CSRF 保護

設定>工作階段設定>跨網站要求偽造 (CSRF) 保護>啟用所有選項。

控制概觀

在 Salesforce 工作階段設定中啟用 CSRF 保護可透過將唯一的密碼編譯隨機權杖注入至非設定頁面上的每個變更狀態要求 (例如 POST) 來保護您的環境。

接著,平台會根據使用者啟用的工作階段驗證此權杖,以確保要求源自合法的使用者互動,有效防止惡意網站欺騙瀏覽器代表使用者執行未經授權的命令。

未設定安全性風險

停用 CSRF 保護會讓您的 Salesforce 環境容易受到跨網站要求偽造 (CSRF) 攻擊,惡意網站在使用者不Knowledge的情況下可能會誘騙使用者的瀏覽器執行未經授權的變更狀態指令,例如刪除記錄或修改安全性設定。由於這些要求繼承已驗證使用者的權限,因此針對管理帳戶進行的攻擊可能會導致組織的資料和組態遭到完全破壞。

威脅情況

在一般的威脅案例中,攻擊者會誘騙已驗證的 Salesforce 使用者造訪惡意網站,或按一下觸發 Salesforce 例項之隱藏跨網站要求的連結。

由於瀏覽器會自動包含使用者的已啟用工作階段 Cookie,因此 Salesforce (缺少有效的防 CSRF 權杖來驗證要求的來源) 會合法執行指令,可能允許攻擊者在Knowledge使用者的情況下刪除記錄、修改安全性組態或升級自己的權限。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險影響包括資料機密性和完整性的全面損毀,其中未經授權的執行動作者可能執行管理動作或收集敏感資訊,進而造成災難性的財務、法律和聲譽損害。

風險愈高時機

除了已討論的設定之外,停用「將工作階段鎖定至工作階段來源的 IP 位址」和「啟用點閱綁架保護」等錯誤設定會大幅強化您的風險設定檔。

若沒有 IP 鎖定,攻擊者可從任何位置使用劫持的工作階段識別碼或從瀏覽器持續快取收集的資料,而停用的點閱綁架保護可讓惡意網站在您的 Salesforce 組織上重疊不可見的框架,從而誘騙使用者執行略過 CSRF 保護的動作。此外,維護長工作階段逾時或無法「在工作階段逾時強制登出」會延伸攻擊者在無人陪同或共用工作站上利用這些漏洞的機會範圍。

低風險或無風險的時機

若要在缺少主要工作階段或快取控制項時將這些風險降到最低,請實作多因素驗證 (MFA) 和 IP 範圍限制,以確保即使工作階段遭劫持或快取的資料顯示,也無法輕鬆從不受信任的裝置或位置中利用。

此外,使用 Salesforce Shield 事件監視和嚴格的物件/欄位級安全性可讓您即時偵測異常的資料匯出,同時確保伺服器端權限會防止未經授權的動作,即使嘗試進行前端 CSRF 或快取型攻擊也是如此。

業務與整合考量事項

實作這些控制項需要平衡增強型安全性與系統互通性,因為嚴格的 CSRF 與工作階段強制執行可能會中斷舊版整合、第三方 iFrames 或自訂 API 工作流程,這些流程不會原生處理自動化安全性權杖。

建議的補救措施

在工作階段設定中啟用 CSRF 保護。

安全性健康檢閱指南

「安全性健康審查」會檢查工作階段設定,確認已根據安全性最佳作法啟用「跨網站要求偽造」保護。