URL 許可リストのチェックを強制する (セキュリティセンター 1.3、1.5、および 2.0 で更新)
glide.security.url.whitelist システムプロパティを使用して検証レイヤーを追加し、導入された外部 URL を包含リスト URL に含める必要があるかどうかを確認します。
クライアント側のオープンリダイレクトからユーザーを保護します。これにより、攻撃者はユーザーを信頼できないページや悪意のあるページにリダイレクトできます。
glide.security.url.whitelist.strict_check が推奨値の true に設定されていない場合、glide.security.url.whitelist システムプロパティが空である限り、すべての外部 URL がリダイレクトに許可されます。glide.security.url.whitelist が空でない場合、そのプロパティにリストされている外部 URL のみが許可されます。
オープンリダイレクト攻撃からインスタンスを保護するために 、glide.security.url.whitelist.strict_check を true に設定するか、許可された外部 URL を使用して glide.security.url.whitelist が構成されていることを確認してください。
/logout.do?sysparm_goto_url={External URL}/cms_login_redirect.do?sysparm_goto_url={External URL}
/logout_redirect.do?sysparm_url={External URL}/saml_redirector.do?sysparm_uri={External URL}
SAML を有効にすると、ID プロバイダー (IDP) のログアウト URL が呼び出されます。
プロパティ glide.security.url.whitelist.strict_check が true に設定されているか、プロパティ glide.security.url.whitelist が値に設定されていることを確認します。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.security.url.whitelist |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | 検証、サニタイズ、およびエンコーディング |
| 目的 | ログイン、ログアウト、またはその他のリダイレクト時に安全な URL リダイレクトを実装すること。このプロパティは、「未検証のリダイレクトと転送」と呼ばれる OWASP 上位 10 件の攻撃の 1 つを軽減します。 |
| タイプ | 文字列 |
| デフォルト値 | true |
| 推奨値 | true |
| 値 | 組織の承認済み URL [何らかの定義された FQDN (完全修飾ドメイン名) 例:http://www.servicenow.com] |
| セキュリティリスク評価 | 6.3 |
| 機能への影響 | この修正では、ログアウトページで検証が適用されます。SSO/SAML 構成のインスタンスのユーザーに機能的な影響を与える可能性があります。 |
| セキュリティリスク | (高) クライアント側のオープンリダイレクトにより、攻撃者は、攻撃者が制御する Web サイトに被害者/ユーザーをリダイレクトできるようになります。これはセキュリティリスクと見なされます。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。