Impedir que os usuários aceitem o aviso para ignorar a validação CSRF [Atualizado na Central de segurança 1,3 e 1,5]
Use a propriedade glide.security.csrf.strict.validation.mode para habilitar a validação estrita do token CSRF. Se o token CSRF não corresponder, impedirá o reenvio da solicitação.
Esta propriedade impede que os usuários aceitem um aviso que permite que uma solicitação potencialmente mal-intencionada seja enviada para a instância. Este aviso aparece quando uma solicitação POST falha devido a ter um token anti-CSRF incompatível que pertence a uma das outras sessões ativas da vítima. Se glide.security.csrf.strict.validation.modeSe o valor recomendado for verdadeiro, um invasor poderá formular um ataque CSRF utilizando um token anti-CSRF vazado de uma sessão ativa diferente que pertença à vítima. Uma solicitação POST para uma instância contém um token anti-CSRF em "sysparm_ck" ou "X-UserToken" que corresponde à sessão atual do usuário.
Em vez disso, se o token anti-CSRF estiver vinculado a uma das outras sessões ativas do usuário, a solicitação POST retornará um redirecionamento 302 para security_intercetor.do com um botão Continuar disponível para o usuário quando esta propriedade estiver definida como falsa. Clicar neste botão enviará novamente a solicitação para a instância, exceto que agora terá um token anti-CSRF válido. Quando esta propriedade é definida como verdadeira, o redirecionamento 302 para a página security_intercetor.do não exibirá um botão Continuar e o usuário não terá permissão para reenviar a solicitação.Um ataque CSRF bem-sucedido permitirá que um invasor execute com eficácia qualquer operação que a vítima possa executar.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.security.csrf.strict.validation.mode |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Controle de acesso |
| Finalidade | Impor a validação estrita do token CSRF e impedir sua reutilização. |
| Tipo de dados | Booliano |
| Valor recomendado | verdadeiro |
| Valor-padrão | verdadeiro |
| Classificação de risco de segurança | (Médio) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
| Classificação de risco de segurança | 3,7 |
| Impacto funcional | Esta correção permite uma etapa de validação extra antes que o usuário da instância envie uma solicitação de gravação para a instância. Ela verifica se o token CSRF atual foi usado anteriormente. Se sim, impede o envio de outras solicitações de gravação. |
| Risco à segurança | (Médio) A falsificação de solicitação de site cruzado é um risco de segurança significativo que viola a integridade dos dados da instância. Um invasor pode iniciar o ataque de CSRF em qualquer usuário da instância abusando da confiança do usuário da instância. Com a ajuda de ataques de engenharia social, um usuário pode enviar uma solicitação malformada à instância em nome do invasor. |
Retorne para Configure e carregue a chave fornecida pelo cliente para carregar sua chave encapsulada.