사용자가 CSRF 유효성 검사를 바이패스하기 위한 경고를 수락하지 못하도록 방지 [보안 센터 1.3 및 1.5에서 업데이트됨]
glide.security.csrf.strict.validation.mode 속성을 사용하여 CSRF 토큰 엄격한 확인을 활성화합니다. CSRF 토큰이 일치하지 않으면 요청을 다시 제출할 수 없습니다.
이 속성은 사용자가 잠재적으로 악의적인 요청을 인스턴스로 보낼 수 있는 경고를 수락할 수 없도록 합니다. 이 경고는 피해자의 다른 활성 세션 중 하나에 속하는 안티-CSRF 토큰이 일치하지 않아 POST 요청이 실패할 때 나타납니다. 권장 값인 true로 설정되지 않은 경우 glide.security.csrf.strict.validation.mode 공격자는 피해자에게 속한 다른 활성 세션에서 유출된 안티-CSRF 토큰을 사용하여 CSRF 공격을 공식화할 수 있습니다. 인스턴스에 대한 POST 요청에는 사용자의 현재 세션과 일치하는 "sysparm_ck" 또는 "X-UserToken" 내에 안티-CSRF 토큰이 포함되어 있습니다.
안티-CSRF 토큰이 사용자의 다른 활성 세션 중 하나에 대신 연결된 경우 POST 요청은 이 속성이 false로 설정된 경우 사용자가 사용할 수 있는 계속 단추를 사용하여 security_interceptor.do에 대한 302 리디렉션을 반환합니다. 이 단추를 클릭하면 인스턴스에 요청을 다시 제출합니다(단, 이제 유효한 안티-CSRF 토큰이 있는 경우는 제외). 이 특성을 예로 설정하면 security_interceptor.do 페이지로의 302 리디렉션에 계속 단추가 표시되지 않으며 사용자가 요청을 다시 제출할 수 없습니다. CSRF 공격이 성공하면 공격자는 피해자가 수행할 수 있는 모든 작업을 효과적으로 수행할 수 있습니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.security.csrf.strict.validation.mode |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 접근 통제 |
| 목적 | CSRF 토큰의 엄격한 유효성 검사를 적용하고 재사용을 방지합니다. |
| 데이터 유형 | 부울 |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | (중간) 교차 사이트 요청 위조는 인스턴스 데이터의 무결성을 침해하는 중요한 보안 위험입니다. 공격자는 인스턴스 사용자의 신뢰를 악용하여 모든 인스턴스 사용자에 대해 CSRF 공격을 시작할 수 있습니다. 소셜 엔지니어링 공격을 통해 사용자는 공격자 대신 인스턴스에 잘못된 형식의 요청을 제출할 수 있습니다. |
| 보안 위험 등급 | 3.7 |
| 기능적 영향 | 이렇게 정정하면 인스턴스 사용자가 인스턴스에 쓰기 요청을 제출하기 전에 추가 확인 단계가 활성화됩니다. 현재 CSRF 토큰이 이전에 사용되었는지 여부를 확인합니다. 예일 경우 추가 쓰기 요청이 제출되지 않습니다. |
| 보안 위험 | (중간) 교차 사이트 요청 위조는 인스턴스 데이터의 무결성을 침해하는 중요한 보안 위험입니다. 공격자는 인스턴스 사용자의 신뢰를 악용하여 모든 인스턴스 사용자에 대해 CSRF 공격을 시작할 수 있습니다. 소셜 엔지니어링 공격을 통해 사용자는 공격자 대신 인스턴스에 잘못된 형식의 요청을 제출할 수 있습니다. |
래핑된 키를 업로드하려면 돌아가기 고객 공급 키 구성 및 업로드