Você está aqui:
Configurações do aplicativo da Web: Verificar assinaturas da solicitação – selecionar
Essa configuração de segurança exige que a plataforma valide a assinatura digital de cada solicitação de SAML ou OAuth recebida em relação a um certificado público confiável para garantir que o remetente seja autêntico.
Nome do controle
Aplicativos conectados: Configurações do aplicativo da Web: Verificar assinaturas da solicitação – Selecionar
Configuração recomendada
Configurações do aplicativo da Web: Verificar assinaturas da solicitação – Selecionar.
Visão geral de controle
Essa configuração de segurança exige que a plataforma valide a assinatura digital de cada solicitação de SAML ou OAuth recebida em relação a um certificado público confiável para garantir que o remetente seja autêntico.
Risco de segurança, se não configurado
Não verificar assinaturas de solicitação de aplicativo para aplicativos da Web conectados leva a um risco de alteração de dados e alterações não autorizadas do sistema por meio de solicitações não validadas que foram interceptadas ou modificadas.
Cenários de ameaça
Um invasor intercepta uma solicitação de autenticação não criptografada e modifica o identificador do usuário ou as reivindicações de permissão para obter acesso elevado antes que a solicitação atinja o ponto de extremidade do provedor de serviços do Salesforce.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A falha na imposição da verificação de assinatura facilita a execução de ações administrativas não autorizadas e a possível exfiltração de registros confidenciais por meio de parâmetros de integração manipulados.
Risco maior quando
Quando o aplicativo conectado processa transações financeiras de alto valor ou quando a organização permite o uso de canais HTTP inseguros para transmitir metadados de autenticação.
Baixo risco quando
Se a organização usar uma autoridade de certificação para emitir chaves de assinatura de curta duração e impor a segurança da camada de transporte mútua para todas as comunicações no nível da API.
Considerações de negócios e integração
A implementação da verificação de assinatura garante a não rejeição de todas as solicitações recebidas, embora exija que o provedor de serviços externo tenha a sobrecarga computacional necessária para assinar cada carga útil de saída.
Remediação recomendada
Acesse as Configurações do aplicativo da Web para o aplicativo conectado e marque a caixa de seleção para Verificar assinaturas de solicitação ao garantir que o certificado de verificação correto esteja ativo.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a verificação de assinaturas de solicitação como um padrão altamente recomendado para proteger contra ataques de repetição de solicitação e alteração de mensagem em ambientes de identidade federada.
