Como habilitar o token anti-CSRF [Novo na Central de segurança 1.3 e removido na 1.5]

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Use a propriedade glide.security.use_csrf_token para garantir o uso de um token seguro para identificar e validar solicitações de entrada, que por sua vez são usadas para impedir esses ataques.

    A CSRF (Cross-Site Request Forgery, falsificação de solicitação de site cruzado) é um ataque que força um usuário final a executar ações indesejadas em uma aplicação da Web na qual ele está autenticado no momento. Os ataques de CSRF visam especificamente solicitações de mudança de estado, e não o roubo de dados, já que o invasor não tem como ver a resposta à solicitação forjada.

    As propriedades a seguir podem ser habilitadas para controles adicionais pelo token CSRF:
    • glide.security.csrf_previous.time_limit
    • glide.security.csrf_previous.allow
    • glide.security.csrf.strict.validation.mode

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.security.use_csrf_token
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Controle de acesso
    Finalidade Proteger a aplicação de um possível ataque de CSRF.
    Classificação de risco de segurança 8,1
    Valor recomendado verdadeiro
    Valor-padrão verdadeiro
    Impacto funcional (Baixo) Esta correção permite uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação para a instância. Cada solicitação de gravação contém um token CSRF (ou seja, um ID de validação/CSRF vinculado à sessão do usuário). Quando a sessão do usuário expira, o token de segurança expira também.
    Risco à segurança (Alto) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF abusando da confiança de um usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada em nome do invasor na instância.

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.