Usted estĆ” aquĆ:
ConfiguraciĆ³n de aplicaciĆ³n web: Verificar firmas de solicitudes: Seleccionar
Esta configuraciĆ³n de seguridad requiere que la plataforma valide la firma digital de cada solicitud SAML u OAuth entrante con un certificado pĆŗblico de confianza para garantizar que el remitente es autĆ©ntico.
Nombre de control
Aplicaciones conectadas: ConfiguraciĆ³n de aplicaciĆ³n web: Verificar firmas de solicitudes - Seleccionar
ConfiguraciĆ³n recomendada
ConfiguraciĆ³n de aplicaciĆ³n web: Verificar firmas de solicitudes: Seleccione.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad requiere que la plataforma valide la firma digital de cada solicitud SAML u OAuth entrante con un certificado pĆŗblico de confianza para garantizar que el remitente es autĆ©ntico.
Riesgo de seguridad si no estĆ” configurado
No verificar las firmas de solicitudes de aplicaciones para aplicaciones web conectadas conlleva un riesgo de manipulaciĆ³n de datos y cambios no autorizados del sistema a travĆ©s de solicitudes no validadas que se interceptaron o modificaron.
Escenarios de amenazas
Un atacante intercepta una solicitud de autenticaciĆ³n no cifrada y modifica el identificador de usuario o las reclamaciones de permisos para obtener un acceso elevado antes de que la solicitud alcance el extremo del proveedor de servicio de Salesforce.
Intervalo de puntuaciĆ³n de CVSS estimado
Alto (7,0ā8,9).
Consideraciones sobre el impacto del riesgo
No aplicar la verificaciĆ³n de firma facilita la ejecuciĆ³n de acciones administrativas no autorizadas y la posible exfiltraciĆ³n de registros confidenciales a travĆ©s de parĆ”metros de integraciĆ³n manipulados.
Riesgo mƔs alto cuando
Cuando la aplicaciĆ³n conectada procesa transacciones financieras de alto valor o cuando la organizaciĆ³n permite el uso de canales HTTP inseguros para transmitir metadatos de autenticaciĆ³n.
Bajo riesgo cuando
Si la organizaciĆ³n utiliza una autoridad de certificados para emitir claves de firma de corta duraciĆ³n y aplica la seguridad de capa de transporte mutuo para toda la comunicaciĆ³n a nivel de API.
Consideraciones comerciales y de integraciĆ³n
La implementaciĆ³n de la verificaciĆ³n de firma garantiza el no repudio de todas las solicitudes entrantes, aunque requiere que el proveedor de servicio externo posea el gasto de computaciĆ³n necesario para firmar cada carga saliente.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de aplicaciĆ³n web para la aplicaciĆ³n conectada y seleccione la casilla de verificaciĆ³n Verificar firmas de solicitudes mientras se asegura de que el certificado de verificaciĆ³n correcto estĆ” activo.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica la verificaciĆ³n de firmas de solicitudes como un estĆ”ndar altamente recomendado para protegerse contra ataques de repeticiĆ³n de solicitudes y alteraciĆ³n de mensajes en entornos de identidad federados.
