URL-Berechtigungslistenprüfung erzwingen [aktualisiert in Sicherheitscenter 1,3, 1,5 und 2,0]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie glide.security.url.whitelistSystemeigenschaft zum Hinzufügen einer zusätzlichen Validierungsebene, um sicherzustellen, dass eine eingeführte externe URL Teil von URLs mit Einschlussliste sein soll.

    Schützen Sie Ihre Anwender vor einer clientseitigen offenen Umleitung, mit der Angreifer Ihre Anwender zu nicht vertrauenswürdigen und schädlichen Seiten umleiten können.

    Wenn glide.security.url.whitelist.strict_check Ist nicht auf den empfohlenen Wert festgelegt Wahr , Alle externen URLs sind für die Weiterleitung zulässig, solange der glide.security.url.whitelist Systemeigenschaft ist leer. Wenn glide.security.url.whitelist Ist nicht leer, dann sind nur externe URLs zulässig, die in dieser Eigenschaft aufgeführt sind.

    Festgelegt glide.security.url.whitelist.strict_check Bis Wahr Oder stellen Sie sicher glide.security.url.whitelist Ist mit den zulässigen externen URLs konfiguriert, um Ihre Instanz vor offenen Umleitungsangriffen zu schützen.

    Diese Eigenschaft gilt in den folgenden Fällen:
    • /Logout.do?sysparm_goto_url={externe URL}
    • /cms_login_redirect.do?sysparm_goto_url={externe URL}
    Anwender werden zu einer externen vertrauenswürdigen Website weitergeleitet, nachdem sie sich von der Instanz abgemeldet haben:
    • /Logout_redirect.do?sysparm_url={externe URL}
    • /saml_redirector.do?sysparm_URI={externe URL}

    Wenn SAML aktiviert ist, wird eine Abmeldungs-URL des Identitätsanbieters (Identity Provider, IDP) aufgerufen.

    Stellen Sie die Eigenschaft sicher glide.security.url.whitelist.strict_checkIst auf „wahr“ oder die Eigenschaft festgelegt glide.security.url.whitelistIst auf einen Wert festgelegt.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.security.url.whitelist
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Validierung, Bereinigung und Codierung
    Zweck Zum Implementieren der sicheren URL-Umleitung während der Anmeldung, Abmeldung oder anderer Umleitungen. Diese Eigenschaft mindert einen der 10 häufigsten OWASP-Angriffe, die als für ungültig erklärte Umleitungen und Weiterleitungen bezeichnet werden.
    Typ Zeichenfolge
    Standardwert wahr
    Empfohlener Wert wahr
    Wert Genehmigte URLs Ihrer Organisation [einige definierte FQDN (Fully Qualified Domain Name), z. B. http://www.servicenow.com]
    Sicherheitsrisikobewertung 6.3
    Funktionale Auswirkung Diese Korrektur erzwingt die Validierung auf der Abmeldeseite. Dies kann funktionale Auswirkungen auf einen Anwender einer Instanz mit einer SSO/SAML-Konfiguration haben.
    Sicherheitsrisiko (Hoch) die offene Umleitung auf Clientseite kann es Angreifern ermöglichen, Opfer/Anwender auf eine vom Angreifer kontrollierte Website umzuleiten, und wird als Sicherheitsrisiko betrachtet.
    Referenzen

    Fehler und Korrekturen für Multi-SSO (SAML 2,0)

    Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.