您在此处:
Web 应用程序设置:验证请求签名 - 选择
此安全设置要求平台根据受信公共证书验证每个传入 SAML 或 OAuth 请求的数字签名,以确保发件人真实可信。
控件名称
连接的应用程序:Web 应用程序设置:验证请求签名 - 选择
推荐配置
Web 应用程序设置:验证请求签名 - 选择。
控制概览
此安全设置要求平台根据受信公共证书验证每个传入 SAML 或 OAuth 请求的数字签名,以确保发件人真实可信。
安全风险(如果未配置)
无法验证连接 Web 应用程序的应用程序请求签名会导致数据被篡改的风险,以及通过已拦截或修改的未经验证的请求进行未经授权的系统更改。
威胁场景
攻击者拦截未加密的身份验证请求,并在请求到达 Salesforce 服务提供商端点之前修改用户标识符或权限声明,以获取提升的访问权限。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不强制执行签名验证会助长未经授权的管理操作的执行,并可能通过操纵的集成参数泄露敏感记录。
高风险
当连接的应用程序处理高价值的金融交易时,或者当组织允许使用不安全的 HTTP 渠道来传输身份验证元数据时。
低风险
如果组织使用证书颁发机构颁发短期签名密钥,并为所有 API 级通信强制实施相互传输层安全性。
业务和集成注意事项
实施签名验证可确保所有传入请求的不可抵赖性,尽管它要求外部服务提供商拥有签署每个出站负载所需的计算开销。
建议的补救措施
转到连接的应用程序的 Web 应用程序设置,并选中复选框来验证请求签名,同时确保正确的验证证书处于活动状态。
安全健康审查指导
安全健康审查将请求签名的验证确定为强烈建议的标准,以防止聚合身份环境中的请求重放和消息更改攻击。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
