聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
作者:Sophia Waterfield
Salesforce Community 站点可使客户和合作伙伴从组织机构外部和 Salesforce 实例交互。例如,开支持工单、提问问题、管理订阅服务等。
报告指出,匿名用户能够“查询包含敏感信息如客户列表、支持案例和员工邮件地址的对象。恶意人员可利用错误配置至少能够为鱼叉式钓鱼攻击执行侦察活动“,”而在最糟糕的情况下,他们可以窃取关于业务、操作、客户端和合作伙伴的敏感信息。在某些情况下,技能高潮的攻击者还可能横向移动,从与Salesforce 账户集成的其它服务中检索信息。“
Salesforce 社区在 Salesforce 公司的 Lightning 框架上运行,它是一个以组件为本的矿建,使用了 aura 组件即开发人员可用于创建网页的自包含对象。在 Salesforce,aura 组件可用于执行多种动作如查看或更新记录。
报告指出,“在配置错误的站点,攻击者能够通过查找关于组织机构的信息执行侦察活动,暴露用户、对象和字段等的名字和邮件地址;在很多情况下他们能够渗透系统或窃取信息。首先,攻击者必须找到可利用的社区站点。”
研究人员进一步解释称,“很多常见的 URL ‘指纹‘ 可表明站点由 Salesforce Communities 驱动,如’/s/topic’、‘/s/article’ 和 ‘/s/contactsupport’”。之后,攻击者将返回组织机构的域名、某些安全设置和可用对象,从而检索关于站点的更多信息。
研究人员指出,Salesforce 管理员可采取如下措施应对:
-
确保 guest 画像权限不会暴露不应被暴露的信息如账户记录、员工日历等;
-
为 guest 画像禁用 API 访问权限
-
为 guest用户创建的记录设置默认所有者
-
启用安全的 guest 用户访问权限
研究人员指出,这些研究结果表明,安全团队应该持续访问其 SaaS 的披露信息。
https://www.infosecurity-magazine.com/news/salesforce-expose-business/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
本文始发于微信公众号(代码卫士):Salesforce 社区可泄露业务敏感信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论