위치:
게스트 사용자 액세스: 게스트 액세스 API 컨트롤에 대한 사이트 기본 설정
이 보안 기본 설정은 인증되지 않은 방문자가 Experience Cloud 사이트의 기본 Salesforce Connect 및 공개 REST 엔드포인트와 상호 작용할 수 있는지 여부를 결정하는 마스터 게이트 역할을 합니다.
제어 이름
게스트 사용자 액세스: 게스트 액세스 API에 대한 사이트 기본 설정
권장 구성
디지털 익스피리언스>모든 사이트>작업 영역>관리 | 기본 설정>게스트 사용자가 공용 API에 액세스하도록 허용을 선택 취소/비활성화로 설정합니다.
제어 개요
이 보안 기본 설정은 인증되지 않은 방문자가 Experience Cloud 사이트의 기본 Salesforce Connect 및 공개 REST 엔드포인트와 상호 작용할 수 있는지 여부를 결정하는 마스터 게이트 역할을 합니다.
구성되지 않은 경우 보안 위험
이 액세스가 활성화되면 익명 작업자가 사이트 메타데이터를 쿼리하고 안전하지 않은 개체 수준 권한을 통해 의도치 않게 노출된 레코드 데이터를 추출하도록 시도할 수 있는 열린 프로그래밍(API) 채널이 제공됩니다.
위협 시나리오
공격자는 자동화된 스크립트를 사용하여 공개 API 끝점에 도달하여 사용자 정의 개체의 내부 구조를 검색하고 비공개 공유 모델로 엄격하게 보호되지 않는 모든 레코드를 체계적으로 다운로드합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
익명 API 액세스를 허용하면 대용량 데이터 스크래핑 및 지적 재산권 도난이 발생할 가능성이 크게 증가하며, 이는 엄격한 규제 처벌과 경쟁 우위 손실로 이어질 수 있습니다.
위험이 높은 경우
게스트 사용자 프로필에 민감한 비즈니스 논리를 포함하는 개체에 대한 읽기 액세스 권한이 부여되었거나 사이트에서 인증되지 않은 사용을 위해 강화되지 않은 사용자 정의 Apex 컨트롤러를 사용하는 경우
낮은 위험 시기
사이트는 순전히 정적이며 민감하거나 독점적인 정보를 저장하는 표준 또는 사용자 정의 개체를 사용하지 않습니다.
비즈니스 및 통합 고려 사항
이 기본 설정을 비활성화하면 특정 외부 검색 엔진 또는 타사 웹 구성 요소가 실시간 API 쿼리를 사용하는 공개 사이트 콘텐츠를 올바르게 색인화하고 표시하지 못할 수 있습니다.
권장 수정
사이트 작업 영역의 관리 섹션으로 이동하여 기본 설정을 선택하고 게스트 사용자가 공개 API에 액세스할 수 있도록 허용하는 확인란이 선택 취소되어 있는지 확인합니다.
보안 상태 검토 지침
보안 상태 검토는 공개 API 액세스 제한을 필수 아키텍처 표준으로 식별하여 열려 있고 모니터링되지 않는 API(프로그래밍) 인터페이스가 아닌 제어된 사용자 인터페이스 구성 요소를 통해서만 데이터가 노출되는지 확인합니다.
