Вы находитесь здесь:
Самостоятельная регистрация
Этот элемент управления включает деактивацию функции самостоятельной регистрации и связанных с ней компонентов Visualforce для обеспечения возможности добавления новых участников сайта только посредством авторизованного процесса приглашения под руководством администратора.
Управление именем
Самостоятельная регистрация
Рекомендованная конфигурация
Удалите/выключите самостоятельную регистрацию, чтобы пригласить новых посетителей на сайт Experience Cloud.
Настройка>Страницы визуальной силы>CommunitiesSelfReg - не должны иметь назначенный профиль или ссылку на страницу и недоступны для Lightning Experience, сайтов конструктора взаимодействий и мобильного приложения (не отмечены).
Общие сведения о контроле
Этот элемент управления включает деактивацию функции самостоятельной регистрации и связанных с ней компонентов Visualforce для обеспечения возможности добавления новых участников сайта только посредством авторизованного процесса приглашения под руководством администратора.
Риск безопасности, если он не настроен
Если самостоятельная регистрация включена или оставлена активной в фоновом режиме, любое лицо (или автоматический бот) в Интернете может создать действительную учетную запись пользователя в вашей организации Salesforce, минуя внутренние процедуры проверки и проверки подлинности.
Сценарии угроз
Злоумышленник использует сценарий для массовой регистрации тысяч фиктивных организаций, которые потом используются для исследования внутреннего сайта на наличие уязвимостей, удаления каталогов пользователей или запуска атаки отказа в обслуживании (DoS) на количество лицензий.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Неконтролируемое создание организации приводит к исчерпанию лицензии, загрязнению данных и расширенной поверхности атаки, поскольку каждый новый «пользователь» является потенциальной отправной точкой для использования правил общего доступа на уровне объекта.
Повышенный риск при
Если страница Visualforce "CommunitiesSelfReg" все же назначена профилям, так как остается функциональным "бэкдором", на который можно выйти по прямому URL-адресу, даже если кнопка "Зарегистрировать" скрыта в пользовательском интерфейсе.
Низкий риск при
Если сайт использует reCAPTCHA и средство обработки самостоятельной регистрации (Apex), требующее утверждения администратором вручную до фактической активации любой новой зарегистрированной организации.
Рекомендации по бизнесу и интеграции
Отключение самостоятельной регистрации перекладывает бремя адаптации пользователя на внутреннюю рабочую группу или автоматизированную систему приглашений под управлением API, что может увеличить административные расходы, но обеспечивает превосходное управление безопасностью.
Рекомендованное исправление
Перейдите в раздел «Вход и регистрация», снимите флажок «Разрешить клиентам и партнерам самостоятельную регистрацию» и убедитесь, что страница Visualforce CommunitiesSelfReg не используется и недоступна для любых профилей.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет доступ «только для приглашений» в качестве основной защиты от автоматической эксплуатации портала посредством самостоятельной регистрации, предписывая открывать окно «Самостоятельной регистрации» только при наличии проверенной бизнес-необходимости и надежной стратегии обнаружения ботов.
