ログアウトリダイレクトの URL 許可リスト (インスタンスセキュリティ強化)
glide.security.url.whitelist プロパティを使用して、導入された外部 URL を包含リストの URL に含めるかどうかを確認するために、検証レイヤーを追加します。
オープンリダイレクトは、脆弱な Web ページのリダイレクト先が、ユーザーを危険にさらす可能性がある、信頼できない悪意のあるページである場合に発生します。オープンリダイレクト攻撃にはフィッシング攻撃が伴います。これは、変更された脆弱なリンクが元のサイトと同じであることから、フィッシング攻撃が成功する可能性が高くなるためです。
このプロパティは、次の場合に適用されます。
/logout.do?sysparm_goto_url={External URL}/cms_login_redirect.do?sysparm_goto_url={External URL}
ユーザーがインスタンスからログアウトすると、外部の信頼できるサイトに誘導されます。
/logout_redirect.do?sysparm_url={External URL}/saml_redirector.do?sysparm_uri={External URL}
SAML を有効にすると、ID プロバイダー (IDP) のログアウト URL が呼び出されます。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.security.url.whitelist |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| Instance Security Center での構成 | あり |
| 目的 | ログイン、ログアウト、またはその他のリダイレクト時に安全な URL リダイレクトを実装すること。このプロパティは、「未検証のリダイレクトと転送」と呼ばれる OWASP 上位 10 件の攻撃の 1 つを軽減します。 |
| タイプ | カンマとスペースで区切られた文字列。例:https://example.com, https://wiki.example.com。 |
| 値 | 組織の承認済み URL [何らかの定義された FQDN (完全修飾ドメイン名) 例:http://www.servicenow.com] |
| 機能への影響度 | (中) この修正では、ログアウトページで検証が適用されます。SSO/SAML 構成のインスタンスのユーザーに機能的な影響を与える可能性があります。 |
| セキュリティリスク | (高) クライアント側のオープンリダイレクトにより、攻撃者は、攻撃者が制御する Web サイトに被害者/ユーザーをリダイレクトできるようになります。これはセキュリティリスクと見なされます。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。