Prüfung der URL-Allow-Liste erzwingen [Aktualisiert in Security Center 1.3, 1.5 und 2.0]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie die Systemeigenschaft glide.security.url.whitelist, um eine zusätzliche Validierungsebene hinzuzufügen, um sicherzustellen, dass eine eingeführte externe URL Teil der URLs auf der Aufnahmeliste sein muss.

    Schützen Sie Ihre Anwender vor der offenen Client-Umleitung, die es Angreifern ermöglicht, Ihre Anwender auf nicht vertrauenswürdige und schädliche Seiten umzuleiten.

    Wenn „glide.security.url.whitelist.strict_check “ nicht auf den empfohlenen Wert „ true“festgelegt ist, ist für alle externen URLs die Umleitung zulässig, solange die Systemeigenschaft „glide.security.url.whitelist“ leer ist. Wenn „glide.security.url.whitelist“ nicht leer ist, sind nur externe URLs zulässig, die in dieser Eigenschaft aufgeführt sind.

    Legen Sie „glide.security.url.whitelist.strict_check“ auf „wahr“ fest, oder stellen Sie sicher, dass „glide.security.url.whitelist“ mit den zulässigen externen URLs konfiguriert ist, um Ihre Instanz vor offenen Umleitungsangriffen zu schützen.

    Diese Eigenschaft gilt in den folgenden Fällen:
    • /logout.do?sysparm_goto_url={Externe URL}
    • /cms_login_redirect.do?sysparm_goto_url={Externe URL}
    Benutzer werden zu einer externen vertrauenswürdigen Site weitergeleitet, nachdem sie sich von der Instanz abgemeldet haben:
    • /logout_redirect.do?sysparm_url={Externe URL}
    • /saml_redirector.do?sysparm_uri={Externe URL}

    Wenn SAML aktiviert ist, wird eine Abmelde-URL eines Identitätsanbieters (IDP) aufgerufen.

    Stellen Sie sicher, dass die Eigenschaft glide.security.url.whitelist.strict_check auf „wahr“ oder die Eigenschaft glide.security.url.whitelist auf einen Wert festgelegt ist.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.url.whitelist
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Dient zur Implementierung einer sicheren URL-Umleitung während der Anmeldung, Abmeldung oder anderen Umleitungen. Diese Eigenschaft mindert einen der OWASP-Top-10-Angriffe namens „Ungültige Umleitungen und Weiterleitungen“.
    Typ Zeichenfolge
    Standardwert wahr
    Empfohlener Wert wahr
    Wert Die genehmigten URLs Ihrer Organisation [Ein definierter FQDN (vollständig qualifizierter Domänenname)] z. B. http://www.servicenow.de]
    Sicherheitsrisikobewertung 6.3
    Funktionale Auswirkung Diese Korrektur erzwingt die Validierung auf der Abmeldeseite. Dies kann sich auf einen Benutzer einer Instanz mit einer SSO/SAML-Konfiguration auswirken.
    Sicherheitsrisiko (Hoch) Die clientseitige offene Umleitung kann es Angreifern ermöglichen, Opfer/Anwender auf die vom Angreifer kontrollierte Website umzuleiten, und wird als Sicherheitsrisiko angesehen.
    Referenzen

    Fehler und Korrekturen für Multi-SSO (SAML 2.0).

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.