Du er her:
Beskyttelse av URL-adresse til referent
Kontrolleren Henviser-URL-beskyttelse i Salesforce aktiverer HTTP-hodet Referrer-Policy til å regulere mengden intern URL-informasjon som deles med eksterne nettsteder.
Navn på kontroll
Beskyttelse av URL-adresse til referent
Anbefalt konfigurasjon
- HTTP-henviserpolicy - velg "strict-origin-when-cross-origin"
Oppsett>Session Settings>Referrer URL Protection>Include Referrer-Policy HTTP Header>HTTP Referrer Policy>Strict-Origin-When-Cross-Origin.
Oversikt over kontroll
Kontrolleren Henviser-URL-beskyttelse i Salesforce (finnes under Øktinnstillinger) gir HTTP-hodet Henviser-policy muligheten til å regulere mengden intern URL-informasjon som deles med eksterne nettsteder når en bruker klikker på en lenke eller laster inn en ressurs. Ved å velge en sikker policy som "opphav-når-kryssopphav", instrueres nettleseren til å oppgi bare Salesforce-domenenavnet til tredjeparts nettsteder, og effektivt maskere sensitive data som organisasjons-IDer, post-IDer eller øktparametere som finnes i den fullstendige URL-banen.
Sikkerhetsrisiko hvis ikke konfigurert
Hvis du ikke aktiverer URL-beskyttelse for henviser, øker risikoen for lekkasje av sensitive metadata, fordi nettleseren kan sende hele Salesforce-URL-adressen – inkludert organisasjons-IDer, post-IDer og private parametere – til eksterne nettservere når det klikkes på en utgående lenke eller en tredjeparts ressurs lastes inn. Denne eksponeringen gir eksterne aktører mulighet til å logge og analysere dine interne datastrukturer, som kan utnyttes for målrettet phishing, sosial engineering eller tilordning av beskyttede interne posthierarkier.
Trusselscenarier
En ansatt klikker på en ekstern lenke mens vedkommende viser en sensitiv økonomisk post, noe som fører til at nettleseren sender den fullstendige Salesforce-URL-adressen – inkludert den unike post-IDen – til målnettserverens logger. En trusselagent som overvåker disse loggene, bruker disse metadataene til å identifisere dine interne poststrukturer og starte et målrettet spear phishing-angrep som spesifikt refererer til den private posten brukeren nettopp hadde tilgang til.
Beregnet CVSS Score-område
Kritisk (9.0–10.0).
Viktige punkter om risikoinnvirkning
Den primære risikoinnvirkningen er uautorisert lekkasje av interne firmaintifikatorer og metadata på postnivå til eksterne enheter.
Høyere risiko når
Risikoen for metadatalekkasje forsterkes betydelig av mangelen på advarsel eller blokkering av policyen for ekstern omdirigering, som gir brukere mulighet til å navigere direkte til ikke-klarerte tredjeparts nettsteder uten å varsle om at øktinformasjonen deles.
Lav eller ingen risiko når
For å minimere risikoen for metadatalekkasje når globalt URL-beskyttelse for henvisere ikke er fullt aktivert, kan organisasjoner implementere klarerte URL-adresser for omdirigeringer for å blokkere eller advare brukere før de navigerer til eksterne domener som ikke er klarert.
Viktige punkter om virksomheten og integrasjonen
Implementering av streng URL-beskyttelse for henvisere kan avbryte eksterne analyser, markedsføringssporere eller tidligere tredjepartsintegrasjoner som baserer seg på å analysere den fullstendige Salesforce-URL-banen for å identifisere bestemte poster eller opprettholde kontekst under navigering på tvers av domener.
Anbefalt rettelse
Aktiver HTTP-henviserpolicyen med strengt opphav når du bruker kryssopphav.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering inspiserer policyen Øktinnstillinger for Øktinnstillinger Henviseren som skal konfigureres med Streng opprinnelse - når kryssatopphav for å samsvare med bransjestøtte.
