Vous êtes ici :
Paramètres de l'application Web : Vérification des signatures de requête - Sélectionner un contrôle
Ce paramètre de sécurité exige que la plate-forme valide la signature numérique de chaque requête SAML ou OAuth entrante par rapport à un certificat public de confiance pour s'assurer que l'expéditeur est authentique.
Nom du contrôle
Applications connectées : Paramètres de l'application Web : Vérifier les signatures de requête - Sélectionner
Configuration recommandée
Paramètres de l'application Web : Vérifier les signatures de requête - Sélectionnez.
Vue d'ensemble du contrôle
Ce paramètre de sécurité exige que la plate-forme valide la signature numérique de chaque requête SAML ou OAuth entrante par rapport à un certificat public de confiance pour s'assurer que l'expéditeur est authentique.
Risque de sécurité s'il n'est pas configuré
L'absence de vérification des signatures de requête d'application pour les applications Web connectées entraîne un risque d'altération des données et de modifications non autorisées du système via des requêtes non validées qui ont été interceptées ou modifiées.
Scénarios de menace
Un assaillant intercepte une requête d'authentification non cryptée et modifie l'identifiant utilisateur ou les demandes d'autorisation pour obtenir un accès plus élevé avant que la requête n'atteigne le point de terminaison du fournisseur de services Salesforce.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le fait de ne pas imposer la vérification de la signature facilite l'exécution d'actions administratives non autorisées et l'exfiltration potentielle d'enregistrements confidentiels par des paramètres d'intégration manipulés.
Risque plus élevé quand
Lorsque l'application connectée traite des transactions financières importantes ou lorsque l'organisation autorise l'utilisation de canaux HTTP non sécurisés pour la transmission de métadonnées d'authentification.
Risque faible quand
Si l'organisation utilise une autorité de certification pour émettre des clés de signature éphémères et applique la sécurité de la couche transport mutuelle pour toutes les communications au niveau de l'API.
Considérations relatives à l'entreprise et à l'intégration
La mise en œuvre de la vérification de la signature garantit la non-répudiation de toutes les requêtes entrantes, bien qu'elle nécessite que le fournisseur de services externe possède les frais généraux de calcul nécessaires pour signer chaque charge utile sortante.
Remédiation recommandée
Accédez aux Paramètres de l'application Web pour l'application connectée, puis cochez la case Vérifier les signatures de requête tout en vous assurant que le certificat de vérification correct est actif.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la vérification des signatures de requête comme une norme fortement recommandée pour protéger contre les attaques par relecture de requêtes et altération de messages dans les environnements d'identité fédérés.
