Salesforce 社区可泄露业务敏感信息

  • A+
所属分类:安全文章

Salesforce 社区可泄露业务敏感信息 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

作者:Sophia Waterfield

Salesforce 社区可泄露业务敏感信息

Varonis 公司发布研究报告称,很多公开可访问的 Salesforce Communities 配置错误,可暴露敏感信息。

Salesforce Community 站点可使客户和合作伙伴从组织机构外部和 Salesforce 实例交互。例如,开支持工单、提问问题、管理订阅服务等。

报告指出,匿名用户能够“查询包含敏感信息如客户列表、支持案例和员工邮件地址的对象。恶意人员可利用错误配置至少能够为鱼叉式钓鱼攻击执行侦察活动“,”而在最糟糕的情况下,他们可以窃取关于业务、操作、客户端和合作伙伴的敏感信息。在某些情况下,技能高潮的攻击者还可能横向移动,从与Salesforce 账户集成的其它服务中检索信息。“

Salesforce 社区在 Salesforce 公司的 Lightning 框架上运行,它是一个以组件为本的矿建,使用了 aura 组件即开发人员可用于创建网页的自包含对象。在 Salesforceaura 组件可用于执行多种动作如查看或更新记录。

报告指出,“在配置错误的站点,攻击者能够通过查找关于组织机构的信息执行侦察活动,暴露用户、对象和字段等的名字和邮件地址;在很多情况下他们能够渗透系统或窃取信息。首先,攻击者必须找到可利用的社区站点。”

研究人员进一步解释称,“很多常见的 URL ‘指纹‘ 可表明站点由 Salesforce Communities 驱动,如’/s/topic’、‘/s/article’ ‘/s/contactsupport’”。之后,攻击者将返回组织机构的域名、某些安全设置和可用对象,从而检索关于站点的更多信息。

研究人员指出,Salesforce 管理员可采取如下措施应对:

  • 确保 guest 画像权限不会暴露不应被暴露的信息如账户记录、员工日历等;

  • guest 画像禁用 API 访问权限

  • guest用户创建的记录设置默认所有者

  • 启用安全的 guest 用户访问权限

研究人员指出,这些研究结果表明,安全团队应该持续访问其 SaaS 的披露信息。





推荐阅读

速修复!热门代码覆盖率测试工具 Codecov 的脚本遭恶意修改,敏感信息被暴露
默认数据库脚本部署提升 Salesforce 所有用户权限




原文链接

https://www.infosecurity-magazine.com/news/salesforce-expose-business/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Salesforce 社区可泄露业务敏感信息
Salesforce 社区可泄露业务敏感信息

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Salesforce 社区可泄露业务敏感信息 觉得不错,就点个 “在看” 或 "” 吧~



本文始发于微信公众号(代码卫士):Salesforce 社区可泄露业务敏感信息

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: