Salesforce 社区可泄露业务敏感信息
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
作者:Sophia Waterfield
Varonis 公司发布研究报告称,很多公开可访问的 Salesforce Communities 配置错误,可暴露敏感信息。
Salesforce Community 站点可使客户和合作伙伴从组织机构外部和 Salesforce 实例交互。例如,开支持工单、提问问题、管理订阅服务等。
报告指出,匿名用户能够“查询包含敏感信息如客户列表、支持案例和员工邮件地址的对象。恶意人员可利用错误配置至少能够为鱼叉式钓鱼攻击执行侦察活动“,”而在最糟糕的情况下,他们可以窃取关于业务、操作、客户端和合作伙伴的敏感信息。在某些情况下,技能高潮的攻击者还可能横向移动,从与Salesforce 账户集成的其它服务中检索信息。“
Salesforce 社区在 Salesforce 公司的 Lightning 框架上运行,它是一个以组件为本的矿建,使用了 aura 组件即开发人员可用于创建网页的自包含对象。在 Salesforce,aura 组件可用于执行多种动作如查看或更新记录。
报告指出,“在配置错误的站点,攻击者能够通过查找关于组织机构的信息执行侦察活动,暴露用户、对象和字段等的名字和邮件地址;在很多情况下他们能够渗透系统或窃取信息。首先,攻击者必须找到可利用的社区站点。”
研究人员进一步解释称,“很多常见的 URL ‘指纹‘ 可表明站点由 Salesforce Communities 驱动,如’/s/topic’、‘/s/article’ 和 ‘/s/contactsupport’”。之后,攻击者将返回组织机构的域名、某些安全设置和可用对象,从而检索关于站点的更多信息。
研究人员指出,Salesforce 管理员可采取如下措施应对:
确保 guest 画像权限不会暴露不应被暴露的信息如账户记录、员工日历等;
为 guest 画像禁用 API 访问权限
为 guest用户创建的记录设置默认所有者
启用安全的 guest 用户访问权限
研究人员指出,这些研究结果表明,安全团队应该持续访问其 SaaS 的披露信息。
推荐阅读
速修复!热门代码覆盖率测试工具 Codecov 的脚本遭恶意修改,敏感信息被暴露
默认数据库脚本部署提升 Salesforce 所有用户权限
原文链接
https://www.infosecurity-magazine.com/news/salesforce-expose-business/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Salesforce 社区可泄露业务敏感信息相关推荐
- 应急响应-敏感信息泄露怎么解决?
敏感信息 在业务系统中的保密性要求较高的数据,通常包括系统敏感信息和引用敏感信息.系统敏感信息指的是业务系统本身的基础环境信息,比如系统信息,中间件版本之类的,一旦泄露可能可以协助攻击者提供更多的攻击 ...
- 目录遍历及敏感信息泄露原理及案例(实验操作)
一.目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活. 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后 ...
- 【Web安全从入门到放弃】11_目录遍历和敏感信息泄露漏洞
11_目录遍历和敏感信息泄露漏洞 目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活.当用户发起一个前端的请求时,便会将请求的这个文件的值( ...
- 如何降低在 npm 模块中发布敏感信息的可能性
简评:国内也有不少在开源代码里泄露敏感数据的例子,这种事一定要小心啊. 目前 npm 上有着数十万的包,而隐藏在这惊人数量之下的是更令人惊讶的敏感信息泄漏.包括 authentication toke ...
- 配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告
作者:知道创宇404实验室 1. 更新情况 2. 事件概述 SNMP协议[1],即简单网络管理协议(SNMP,Simple Network Management Protocol),默认端口为 161 ...
- 【web渗透思路】敏感信息泄露(网站+用户+服务器)
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
- 基于机器学习的敏感信息泄露治理探索
文|宙斯盾流量安全分析团队 晨晨.彦修 背景 企业数据包含着用户个人信息.隐私信息.商业敏感数据等,一旦泄漏,会给企业带来巨大的经济损失,甚至承担相关法律责任和巨额罚款.因此,如何保障企业存储的各类敏 ...
- 【web渗透思路】框架敏感信息泄露(特点、目录、配置)
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
- 浅谈“敏感信息泄露“
一:漏洞名称: 敏感信息泄露 描述: 敏感数据包括但不限于:口令.密钥.证书.会话标识.License.隐私数据(如短消息的内容).授权凭据.个人数据(如姓名.住址.电话等)等,在程序文件.配置文件. ...
最新文章
- 深度学习--TensorFlow(8)CNN卷积神经网络理论(计算机视觉)
- HDU4008 Parent and son [树形DP]
- python怎么样才算入门编程-新手如何快速入门Python编程?听过来人说经验!
- mcq 队列_MCQ | 量子密码学
- javascript:history.go(-1)和javascript:history.back(-1)
- 安装JDK 9与使用jshell
- python向上取整_python向上取整-取整,向上
- LR监控linux系统资源
- @RequestBody 接收数组、List 参数、@Deprecated 标记废弃方法
- html整体居中文字,html文字居中 html图片居中代码
- 小米路由器,设置自定义Samba路径,直接访问磁盘根目录
- 自学白帽黑客第一年总结
- malloc,calloc区别
- keras搭建简单CNN模型实现kaggle比赛数字识别
- 指派问题——匈牙利法
- stl文件html预览,基于SpringMVC对stl文件的3D可视化
- 【android】简易的登陆界面的xml设计——代码复用,节省时间
- 刚体6D位姿估计方法综述
- 诺基亚2016年会重返智能手机市场?
- 最优停止理论 Optimal Stopping Theory 经典秘书问题 Classic Secretary Problem