Imposição da verificação da lista de permissões de URL [Atualizado na Central de segurança 1.3, 1.5 e 2.0]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use a propriedade do sistema glide.security.url.whitelist para adicionar uma camada extra de validação a fim de garantir que qualquer URL externa introduzida faça parte das URLs da lista de inclusões.

    Proteja seus usuários do redirecionamento aberto do lado do cliente, o que permite que invasores redirecionem seus usuários para páginas não confiáveis e mal-intencionadas.

    Se glide.security.url.whitelist.strict_check não estiver definido com o valor recomendado de verdadeiro, todas as URLs externas serão permitidas para redirecionamento, desde que a propriedade do sistema glide.security.url.whitelist esteja vazia. Se glide.security.url.whitelist não estiver vazio, somente as URLs externas listadas nessa propriedade serão permitidas.

    Defina glide.security.url.whitelist.strict_check como verdadeiro ou certifique-se de que glide.security.url.whitelist esteja configurado com as URLs externas permitidas para ajudar a proteger sua instância contra ataques de redirecionamento aberto.

    Esta propriedade é aplicável nos seguintes casos:
    • /logout.do?sysparm_goto_url={External URL}
    • /cms_login_redirect.do?sysparm_goto_url={External URL}
    Os usuários são direcionados para um site externo confiável após fazerem logout da instância:
    • /logout_redirect.do?sysparm_url={External URL}
    • /saml_redirector.do?sysparm_uri={External URL}

    Quando o SAML está habilitado, ele invoca uma URL de logout do IDP (provedor de identidade).

    Confira se a propriedade glide.security.url.whitelist.strict_check está definida como True ou se a propriedade glide.security.url.whitelist está definida com um valor.

    Mais informações

    Atributo Descrição
    Nome da propriedade glide.security.url.whitelist
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Categoria Validação, limpeza e codificação
    Finalidade Implementar o redirecionamento de URL seguro durante o login, logout ou outros redirecionamentos. Esta propriedade atenua um dos 10 principais ataques da OWASP, chamados de redirecionamentos e encaminhamentos inválidos.
    Tipo Cadeia de caracteres
    Valor padrão verdadeiro
    Valor recomendado verdadeiro
    Valor Os URLs aprovados da sua organização [Alguns FQDN (Fully Qualified Domain Name, Nome de domínio completo) definidos, por exemplo, http://www.servicenow.com.br]
    Classificação de risco de segurança 6,3
    Impacto funcional Esta correção impõe a validação na página de logout. Isso pode ter um impacto funcional no usuário de uma instância com uma configuração SSO/SAML.
    Risco à segurança (Alto) O redirecionamento aberto do lado do cliente pode permitir que o invasor redirecione as vítimas/usuários para o site controlado pelo invasor e é visto como um risco à segurança.
    Referências

    Correções e erros de Multi-SSO (SAML 2.0)

    Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.