Erzwingen Sie die Prüfung der URL-Allow-Liste

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.security.url.whitelist, um eine zusätzliche Validierungsebene hinzuzufügen, um sicherzustellen, dass eine eingeführte externe URL Teil der URLs auf der Aufnahmeliste sein muss.

    Eine offene Umleitung tritt auf, wenn eine angreifbare Webseite zu einer nicht vertrauenswürdigen und böswilligen Seite umgeleitet wird, die den Benutzer gefährden kann. Offene Umleitungsangriffe gehen mit einem Phishing-Angriff einher, da der geänderte angreifbare Link mit der ursprünglichen Website identisch ist, was die Erfolgswahrscheinlichkeit des Phishing-Angriffs erhöht.

    Diese Eigenschaft gilt in den folgenden Fällen:
    • /logout.do?sysparm_goto_url={Externe URL}
    • /cms_login_redirect.do?sysparm_goto_url={Externe URL}
    Benutzer werden zu einer externen vertrauenswürdigen Site weitergeleitet, nachdem sie sich von der Instanz abgemeldet haben:
    • /logout_redirect.do?sysparm_url={Externe URL}
    • /saml_redirector.do?sysparm_uri={Externe URL}

    Wenn SAML aktiviert ist, wird eine Abmelde-URL eines Identitätsanbieters (IDP) aufgerufen.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.url.whitelist
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Dient zur Implementierung einer sicheren URL-Umleitung während der Anmeldung, Abmeldung oder anderen Umleitungen. Diese Eigenschaft mindert einen der OWASP-Top-10-Angriffe namens „Ungültige Umleitungen und Weiterleitungen“.
    Typ Zeichenfolge
    Standardwert wahr
    Empfohlener Wert wahr
    Wert Die genehmigten URLs Ihrer Organisation [Ein definierter FQDN (vollständig qualifizierter Domänenname)] z. B. http://www.servicenow.de]
    Sicherheitsrisikobewertung 8.3
    Funktionale Auswirkung (Mittel) Diese Korrektur erzwingt die Validierung auf der Abmeldeseite. Dies kann sich auf einen Benutzer einer Instanz mit einer SSO/SAML-Konfiguration auswirken.
    Sicherheitsrisiko (Hoch) Die clientseitige offene Umleitung kann es Angreifern ermöglichen, Opfer/Anwender auf die vom Angreifer kontrollierte Website umzuleiten, und wird als Sicherheitsrisiko angesehen.
    Referenzen

    Fehler und Korrekturen für Multi-SSO (SAML 2.0).

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.