breadcrumbDescription
Beskyttelse af henvisnings-URL
Kontrolen Beskyttelse af henvisnings-URL i Salesforce aktiverer HTTP-sidehovedet for henvisnings-politik til at regulere mængden af interne URL-oplysninger, der deles med eksterne websites.
Kontrolnavn
Beskyttelse af henvisnings-URL
Anbefalet konfiguration
- HTTP Referrer-politik - Vælg "strict-origin-when-cross-origin"
Opsætning>Sessionsindstillinger>Referrer URL Protection>Include Referrer-Policy HTTP Header>HTTP Referrer Policy>Strict-Origin-When-Cross-Origin.
Kontroller oversigt
Kontrolen Henvisnings-URL-beskyttelse i Salesforce (findes under Sessionsindstillinger) aktiverer HTTP-sidehovedet Henvisnings-politik til at regulere mængden af interne URL-oplysninger, der deles med eksterne websites, når en bruger klikker på et link eller indlæser en ressource. Ved at vælge en sikker politik, f.eks. "oprindelse-når-kryds-oprindelse", instrueres browseren i kun at angive Salesforce-domænenavnet til tredjepartslokaliteter, der effektivt maskerer følsomme data som organisations-id'er, registrerings-id'er eller sessionsparametre, der er indeholdt i den fulde URL-sti.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Hvis du ikke aktiverer Beskyttelse af henvisnings-URL'er, øges risikoen for følsom metadatalækage, da browseren kan sende den fulde Salesforce-URL – herunder organisations-id'er, registrerings-id'er og private parametre – til eksterne webservere, når der klikkes på et udgående link eller en tredjepartsressource indlæses. Denne visning giver eksterne aktører mulighed for at logføre og analysere dine interne datastrukturer, som kan udnyttes til målrettet phishing, social engineering eller tilknytning af beskyttede interne registreringshierarkier.
Trusselscenarier
En medarbejder klikker på et eksternt link, mens vedkommende får vist en følsom finansiel registrering, hvilket medfører, at browseren sender den fulde Salesforce-URL – herunder det entydige registrerings-id – til destinationswebserverens logfiler. En trusselaktør, der overvåger disse logfiler, bruger disse metadata til at identificere dine interne registreringsstrukturer og starte et målrettet spear-phishing-angreb, der specifikt refererer til den private registrering, som brugeren netop åbnede.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Den primære risikopåvirkning er uautoriseret lækage af interne firmaidentifikatorer og metadata på registreringsniveau til eksterne enheder.
Højere risiko når
Risikoen for metadatalækage forstærkes væsentligt af manglen på advarsel eller blokering af Ekstern omdirigeringspolitik, som giver brugere mulighed for at navigere direkte til usikrede tredjepartslokaliteter uden nogen advarsel om, at deres sessionsoplysninger deles.
Lav eller ingen risiko når
Hvis du vil minimere risikoen for metadatalækage, når global henvisnings-URL-beskyttelse ikke er fuldt aktiveret, kan organisationer implementere Sikrede URL'er for omdirigeringer for at blokere eller advare brugere, før de navigerer til usikrede eksterne domæner.
Overvejelser i forbindelse med forretning og integration
Implementering af streng henvisnings-URL-beskyttelse kan afbryde eksterne analyser, marketingsporing eller forældede tredjepartsintegrationer, der er afhængige af parsing af den fulde Salesforce-URL-sti for at identificere specifikke registreringer eller vedligeholde kontekst under krydsdomænenavigation.
Anbefalet rettelse
Aktiver HTTP Referrer-politikken med streng oprindelse ved krydsoprindelse.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck undersøger Sessionsindstillinger for Sessionsindstillinger Referrer-politik, der skal konfigureres med Streng oprindelse - Når krydsoprindelse for at overholde bedste fremgangsmåder i branchen.
