Sie befinden sich hier:
Webanwendungseinstellungen: Überprüfen von Anforderungssignaturen – Auswählen
Diese Sicherheitseinstellung schreibt vor, dass die Plattform die digitale Signatur jeder eingehenden SAML- oder OAuth-Anforderung mit einem vertrauenswürdigen öffentlichen Zertifikat abgleicht, um sicherzustellen, dass der Absender authentifiziert ist.
Steuerelementname
Verbundene Anwendungen: Webanwendungseinstellungen: Anforderungssignaturen überprüfen – Auswählen
Empfohlene Konfiguration
Webanwendungseinstellungen: Anforderungssignaturen überprüfen – Auswählen.
Steuerelementübersicht
Diese Sicherheitseinstellung schreibt vor, dass die Plattform die digitale Signatur jeder eingehenden SAML- oder OAuth-Anforderung mit einem vertrauenswürdigen öffentlichen Zertifikat abgleicht, um sicherzustellen, dass der Absender authentifiziert ist.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn die Signaturen von Anwendungsanforderungen für verbundene Webanwendungen nicht überprüft werden, besteht das Risiko von Datenmanipulationen und nicht autorisierten Systemänderungen durch nicht validierte Anforderungen, die abgefangen oder geändert wurden.
Bedrohungsszenarien
Ein Angreifer fängt eine unverschlüsselte Authentifizierungsanforderung ab und ändert den Benutzerkennzeichner oder die Berechtigungsansprüche, um erhöhten Zugriff zu erhalten, bevor die Anforderung den Salesforce-Serviceanbieter-Endpunkt erreicht.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Die Nichterzwingung der Signaturüberprüfung erleichtert die Ausführung nicht autorisierter Verwaltungsaktionen und die potenzielle Exfiltration vertraulicher Datensätze durch manipulierte Integrationsparameter.
Höheres Risiko, wenn
Wenn die verbundene Anwendung hochwertige Finanztransaktionen verarbeitet oder wenn die Organisation die Verwendung unsicherer HTTP-Kanäle zum Übertragen von Authentifizierungsmetadaten zulässt.
Geringes Risiko, wenn
Wenn die Organisation eine Zertifizierungsstelle verwendet, um kurzlebige Signierschlüssel auszustellen, und die gegenseitige Transportebenensicherheit für die gesamte Kommunikation auf API-Ebene erzwingt.
Überlegungen zu Unternehmen und Integration
Die Implementierung der Signaturüberprüfung stellt sicher, dass alle eingehenden Anforderungen nicht abgelehnt werden, obwohl der externe Serviceanbieter über den Rechenaufwand verfügen muss, der zum Signieren jeder ausgehenden Nutzlast erforderlich ist.
Empfohlene Sanierung
Wechseln Sie zu den Webanwendungseinstellungen für die verbundene Anwendung und aktivieren Sie das Kontrollkästchen "Anforderungssignaturen überprüfen", um sicherzustellen, dass das richtige Überprüfungszertifikat aktiv ist.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Überprüfung von Anforderungssignaturen als dringend empfohlenen Standard zum Schutz vor Angriffen auf die erneute Wiedergabe von Anforderungen und Nachrichtenänderungen in Verbundidentitätsumgebungen.
