Liste d’autorisation d’URL pour les redirections de déconnexion

Sécurité de la plateforme Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Sécurité de la plateforme Xanadu

ft:clusterId

psec

bundleId

psec

workflow

Platform

Liste d’autorisation d’URL pour les redirections de déconnexion (renforcement de la sécurité de l’instance)

Rversion finale: Xanadu

Mis à jour 1 août 2024

1 minute de lecture

Utilisez la glide.security.url.whitelist propriété pour ajouter une validation supplémentaire afin d’assurer que toute URL externe introduite doit faire partie des URL sur liste d’inclusion.

La redirection ouverte se produit lorsqu’une page Web vulnérable est redirigée vers une page malveillante et non approuvée qui peut compromettre l’utilisateur. Les attaques par redirection ouverte s’accompagnent d’une attaque de hameçonnage, car le lien vulnérable modifié est identique au site d’origine, ce qui augmente les chances de réussite de l’attaque de hameçonnage.

Cette propriété est applicable dans les cas suivants :

/logout.do ?sysparm_goto_url={URL externe}
/cms_login_redirect.do ?sysparm_goto_url={URL externe}

Après s’être déconnectés de l’instance, les utilisateurs sont dirigés vers un site de confiance externe :

/logout_redirect.do ?sysparm_url={URL externe}
/saml_redirector.do ?sysparm_uri={URL externe}

Lorsque SAML est activé, il invoque une URL de déconnexion du fournisseur d’identité (IdP).

En savoir plus


Attribut	Description
Nom de la propriété	glide.security.url.whitelist
Type de configuration	Propriétés système (/sys_properties_list.do)
Configurer dans le centre de sécurité de l’instance	Oui
Objectif	Pour implémenter une redirection d’URL sécurisée lors de la connexion, de la déconnexion ou d’autres redirections. Cette propriété atténue l’une des 10 principales attaques de l’OWASP appelée Redirections et transferts invalidés.
Type	Chaîne séparée par des virgules et des espaces. Exemple : `https://example.com, https://wiki.example.com`.
Valeur	Les URL approuvées de votre organisation [certains FQDN (nom de domaine pleinement qualifié) définis, par exemple http://www.servicenow.com]
Impact fonctionnel	(Moyen) Cette correction applique la validation sur la page de déconnexion. Cela peut avoir un impact fonctionnel sur un utilisateur d’une instance avec une configuration SSO/SAML.
Risque de sécurité	(Élevé) La redirection ouverte côté client peut permettre à l’attaquant de rediriger les victimes/utilisateurs vers un site Web contrôlé par l’attaquant et est considérée comme un risque de sécurité.
Références	Erreurs et correctifs de l’authentification unique (SAML 2.0)

Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.