Salesforce 社区可泄露业务敏感信息

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

作者：Sophia Waterfield

Salesforce Community 站点可使客户和合作伙伴从组织机构外部和 Salesforce 实例交互。例如，开支持工单、提问问题、管理订阅服务等。

报告指出，匿名用户能够“查询包含敏感信息如客户列表、支持案例和员工邮件地址的对象。恶意人员可利用错误配置至少能够为鱼叉式钓鱼攻击执行侦察活动“，”而在最糟糕的情况下，他们可以窃取关于业务、操作、客户端和合作伙伴的敏感信息。在某些情况下，技能高潮的攻击者还可能横向移动，从与Salesforce 账户集成的其它服务中检索信息。“

Salesforce 社区在 Salesforce 公司的 Lightning 框架上运行，它是一个以组件为本的矿建，使用了 aura 组件即开发人员可用于创建网页的自包含对象。在 Salesforce，aura 组件可用于执行多种动作如查看或更新记录。

报告指出，“在配置错误的站点，攻击者能够通过查找关于组织机构的信息执行侦察活动，暴露用户、对象和字段等的名字和邮件地址；在很多情况下他们能够渗透系统或窃取信息。首先，攻击者必须找到可利用的社区站点。”

研究人员进一步解释称，“很多常见的 URL ‘指纹‘ 可表明站点由 Salesforce Communities 驱动，如’/s/topic’、‘/s/article’ 和 ‘/s/contactsupport’”。之后，攻击者将返回组织机构的域名、某些安全设置和可用对象，从而检索关于站点的更多信息。

研究人员指出，Salesforce 管理员可采取如下措施应对：

研究人员指出，这些研究结果表明，安全团队应该持续访问其 SaaS 的披露信息。