Lista de permissões de URL para redirecionamentos de logout

Segurança da plataforma Xanadu

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Segurança da plataforma Xanadu

ft:clusterId

psec

bundleId

psec

workflow

Platform

Lista de permissões de URL para redirecionamentos de logout (proteção de segurança da instância)

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

1 min. de leitura

Use a propriedade glide.security.url.whitelist para adicionar uma camada extra de validação para garantir que qualquer URL externo introduzido faça parte dos URLs da lista de inclusões.

O redirecionamento aberto ocorre quando uma página da Web vulnerável é redirecionada para uma página não confiável e mal-intencionada que pode comprometer o usuário. Os ataques de redirecionamento aberto vêm com um ataque de phishing porque o link vulnerável modificado é idêntico ao site original, aumentando a probabilidade de sucesso do ataque de phishing.

Esta propriedade é aplicável nos seguintes casos:

/logout.do?sysparm_goto_url={External URL}
/cms_login_redirect.do?sysparm_goto_url={External URL}

Os usuários são direcionados para um site externo confiável após fazerem logout da instância:

/logout_redirect.do?sysparm_url={External URL}
/saml_redirector.do?sysparm_uri={External URL}

Quando o SAML está habilitado, ele invoca um URL de logout do IDP (identity provider, provedor de identidade).

Mais informações


Atributo	Descrição
Nome da propriedade	glide.security.url.whitelist
Tipo de configuração	Propriedades do sistema (/sys_properties_list.do)
Configurar na Central de segurança da instância	Sim
Finalidade	Implementar o redirecionamento de URL seguro durante o login, logout ou outros redirecionamentos. Esta propriedade atenua um dos 10 principais ataques da OWASP, chamados de redirecionamentos e encaminhamentos inválidos.
Tipo	Cadeia de caracteres separada por vírgula e espaço. Exemplo: `https://exemplo.com, https://wiki.exemplo.com`.
Valor	Os URLs aprovados da sua organização [Alguns FQDN (Fully Qualified Domain Name, Nome de domínio completo) definidos, por exemplo, http://www.servicenow.com.br]
Impacto funcional	(Médio) Esta correção impõe validação na página de logout. Isso pode ter um impacto funcional em um usuário de uma instância com uma configuração SSO/SAML.
Risco à segurança	(Alto) O redirecionamento aberto do lado do cliente pode permitir que o invasor redirecione as vítimas/usuários para o site controlado pelo invasor e é visto como um risco à segurança.
Referências	Correções e erros de Multi-SSO (SAML 2.0)

Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.