Appliquer la vérification de la liste d’autorisations d’URL [Mis à jour dans le Centre de sécurité 1.3, 1.5 et 2.0]

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Utilisez la glide.security.url.whitelist propriété système pour ajouter une validation supplémentaire afin de vous assurer que toute URL externe introduite doit faire partie des URL sur liste d’inclusion.

    Protégez vos utilisateurs contre la redirection ouverte côté client, qui permet aux attaquants de rediriger vos utilisateurs vers des pages non approuvées et malveillantes.

    Si glide.security.url.whitelist.strict_check n’est pas défini sur la valeur recommandée vrai, toutes les URL externes sont autorisées à être redirigées tant que la propriété système glide.security.url.whitelist est vide. Si glide.security.url.whitelist n’est pas vide, seules les URL externes répertoriées dans cette propriété sont autorisées.

    Définissez glide.security.url.whitelist.strict_check sur vrai ou assurez-vous que glide.security.url.whitelist est configuré avec les URL externes autorisées pour aider à sécuriser votre instance contre les attaques de redirection ouverte.

    Cette propriété est applicable dans les cas suivants :
    • /logout.do ?sysparm_goto_url={URL externe}
    • /cms_login_redirect.do ?sysparm_goto_url={URL externe}
    Après s’être déconnectés de l’instance, les utilisateurs sont dirigés vers un site de confiance externe :
    • /logout_redirect.do ?sysparm_url={URL externe}
    • /saml_redirector.do ?sysparm_uri={URL externe}

    Lorsque SAML est activé, il invoque une URL de déconnexion du fournisseur d’identité (IdP).

    Assurez-vous que la propriété glide.security.url.whitelist.strict_check est définie sur vrai ou glide.security.url.whitelist sur une valeur.

    En savoir plus

    Attribut Description
    Nom de la propriété glide.security.url.whitelist
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Validation, nettoyage et codage
    Objectif Pour implémenter une redirection d’URL sécurisée lors de la connexion, de la déconnexion ou d’autres redirections. Cette propriété atténue l’une des 10 premières attaques OWASP appelée Redirections et transferts invalidés.
    Type Chaîne
    Valeur par défaut vrai
    Valeur recommandée vrai
    Valeur URL approuvées par votre organisation [un certain FQDN (nom de domaine complet) défini, ex. http://www.servicenow.com]
    Cote de risque de sécurité 6.3
    Impact fonctionnel Ce rattrapage applique la validation sur la page de déconnexion. Elle peut avoir un impact fonctionnel sur l’utilisateur d’une instance avec une configuration SSO/SAML.
    Risque de sécurité (Élevé) La redirection ouverte côté client peut permettre à l’attaquant de rediriger les victimes/utilisateurs vers un site Web contrôlé par l’attaquant et est considérée comme un risque de sécurité.
    Références

    Erreurs et correctifs Multi-SSO (SAML 2.0)

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.