Egenregistrering

Navn på kontroll

Egenregistrering

Anbefalt konfigurasjon

Slett/deaktiver egenregistrering for å invitere nye besøkende til å delta på Experience Cloud-nettstedet.

Oppsett>Visual Force Pages>CommunitiesSelfReg - skal ikke ha tildelt profil eller side referert til og ikke tilgjengelig for Lightning Experience, Opplevelsesbygger-nettsteder og mobilapp (ikke merket).

Oversikt over kontroll

Denne kontrollen involverer deaktivering av egenregistreringsfunksjonen og dens tilknyttede Visualforce for å sikre at nye nettstedsmedlemmer bare kan legges til via en autorisert, administratorledet invitasjonsprosess.

Sikkerhetsrisiko hvis ikke konfigurert

Når selvregistrering aktiveres eller beholdes aktiv i bakgrunnen, kan alle personer (eller automatiserte roboter) på Internett opprette en gyldig brukerkonto i Salesforce-organisasjonen, og omgå interne prosedyrer for kontroll og identitetsbekreftelse.

Trusselscenarier

En angriper bruker et skript til å masseregistrere tusenvis av dummykontoer, som de deretter bruker til å undersøke det interne nettstedet etter sårbarheter, skrape brukerkataloger eller starte et Denial of Service-angrep (DoS)-angrep på antall lisenser.

Beregnet CVSS Score-område

Kritisk (9.0–10.0).

Viktige punkter om risikoinnvirkning

Ukontrollert kontopprettelse fører til uttømming av lisenser, dataforurensning og et utvidet angrepsområde, fordi hver ny "bruker" er et potensielt utgangspunkt for utnyttelse av delingsregler på objektnivå.

Høyere risiko når

Hvis Visualforce "CommunitiesSelfReg" fremdeles er tildelt til profiler, fordi den forblir en funksjonell "bakdør" som kan nås via en direkte URL-adresse selv om Registrer-knappen er skjult i grensesnittet.

Lav risiko når

Hvis nettstedet bruker reCAPTCHA og en selvregistreringsbehandler (Apex) som krever manuell administratorgodkjenning før en nyregistrert konto faktisk aktiveres.

Viktige punkter om virksomheten og integrasjonen

Deaktivering av selvregistrering overfører byrden ved brukerinnføring til det interne teamet eller et automatisert API-drevet invitasjonssystem, noe som kan øke de administrative kostnadene, men gir bedre sikkerhetsstyring.

Anbefalt rettelse

Gå til Pålogging og registrering, fjern merket for Tillat kunder og partnere å registrere seg selv, og forsikre deg om at Visualforce CommunitiesSelfReg ikke refereres til eller er tilgjengelig for noen profiler.

Veiledning for vurdering av sikkerhetstilstand

Sikkerhetstilstandsvurdering identifiserer "bare inviteret"-tilgang som det primære forsvaret mot automatisert portalutnyttelse ved bruk av selvregistrering, og krever at selvregistreringsvinduet bare åpnes hvis det er en bekreftet forretningsnødvendighet og en robust robotoppdagelsesstrategi på plass.