Salesforceのセキュリティ問題

gamzatti
Vote 0 Votes

少し前に公開された情報なのですが、最近調査する機会がありましたのでまとめておきます。
顧客管理システムのクラウドサービスSalesforceの設定が適切に行われていない場合、
インターネットから認証されていない第三者がサービス内部で使っているデータを取得できるという内容です。
攻撃手法などは本記事に詳細に書かれています。
検証してみたい方は、この記事のステップ通りにやれば、サインアップすれば無料版のSalesforceで検証できます。

詳細は上記記事を見ていただければと思いますが、問題を再現させるためには以下が必要です。

・サイトを作成すること(最初の状態では作成されていない)
 なお、サイトには、Force.comサイトと呼ばれるものと、コミュニティサイトと呼ばれるものがあるみたいです。
 記事の通りにやると、コミュニティサイトができます。

・カスタムオブジェクトを作成し、サイトのゲストユーザーのプロファイル設定で、オブジェクトに対する参照権限を与えること
 オブジェクトは、データを入れる箱のようなもので、最初からある標準オブジェクトとユーザが作成するカスタムオブジェクトと
 呼ばれるものがあります。少なくとも私が使用した際は(最近)、標準オブジェクトには参照権限が無かったので、カスタムオブジェクトを作成しました。

・Force.comサイトの場合、ゲストユーザのLightning という設定項目がオンになっていること。
 この機能をオンにすると、画面からはアクセスできない本来非公開のWeb APIでアクセスできるようになります。
 コミュニティサイトでは、この機能を切り替える設定項目が見当たりませんでしたが、APIにアクセスすることは可能なので、
 おそらくonになっているのでしょう。

最近、脆弱性の検証といえば、Windows系しかやっていなかったので、久しぶりにBurpを触りました^^;

後、本題からはだいぶ逸れますが、Active Directoryって、ユーザ名の全角と半角が区別されないのですね。。。最近知りました。
全角のユーザが作れること自体が衝撃的でしたが、更に区別もされない(半角でも認証が通る)とは。。

逆も然りです。半角でユーザを作ったとしても、クライアント側で全角でユーザ名を入力すると普通に通りました。。
何年ITやっていても、身近で知らないことって色々あるのだなぁと。

No TrackBacks

TrackBack URL: http://www.reverse-edge.com/cgi-bin/mt/mt-tb.cgi/128

Leave a comment

About this Entry

This page contains a single entry by gamzatti published on January 10, 2021 1:24 PM.

Yoga -advanced pose- was the previous entry in this blog.

Stay homeな休日 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.