Impedir que os usuários aceitem um aviso para ignorar a validação de CSRF [Atualizado na Central de segurança 1.3 e 1.5]
Use a propriedade glide.security.csrf.strict.validation.mode para habilitar a validação estrita do token CSRF. Se o token CSRF não corresponder, impedirá o reenvio da solicitação.
Esta propriedade evita que os usuários aceitem um aviso, o que permite que uma solicitação potencialmente mal-intencionada seja enviada para a instância. Este aviso aparece quando uma solicitação POST falha devido a um token anti-CSRF incompatível pertencente a uma das outras sessões ativas da vítima. Se glide.security.csrf.strict.validation.mode não estiver definido com o valor recomendado de verdadeiro, um invasor poderá formular um ataque de CSRF usando um token anti-CSRF vazado de uma sessão ativa diferente pertencente à vítima. Uma solicitação POST para uma instância contém um token anti-CSRF em "sysparm_ck" ou "X-UserToken" que corresponde à sessão atual do usuário.
Se o token anti-CSRF estiver vinculado a uma das outras sessões ativas do usuário, a solicitação POST retornará um redirecionamento 302 para security_interceptor.do com um botão Continuar disponível para o usuário quando esta propriedade estiver definida como falsa. Clicar neste botão enviará novamente a solicitação para a instância, exceto que agora ela terá um token anti-CSRF válido. Quando esta propriedade estiver definida como verdadeira, o redirecionamento 302 para a página security_interceptor.do não exibirá um botão Continuar e o usuário não terá permissão para reenviar a solicitação. Um ataque CSRF bem-sucedido permitirá que um invasor execute efetivamente qualquer operação que o a vítima é capaz de executar.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.security.csrf.strict.validation.mode |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Controle de acesso |
| Finalidade | Impor a validação estrita do token CSRF e impedir sua reutilização. |
| Tipo de dados | booliano |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | (Médio) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
| Classificação de risco de segurança | 3,7 |
| Impacto funcional | Esta correção permite uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação para a instância. Ela verifica se o token CSRF atual foi usado anteriormente. Se sim, impede o envio de outras solicitações de gravação. |
| Risco à segurança | (Médio) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
Retorne para Configure e carregue a chave fornecida pelo cliente para carregar sua chave encapsulada.