Histórico da Página
CONTEÚDO
- Visão Geral
- Exemplo de utilização
- Tela XXX
- Outras Ações / Ações relacionadas
- Outras Ações / Ações relacionadas
- Tela XXX
- Principais Campos e Parâmetros
- Principais Campos e Parâmetros
- Parametrização
- Validação Propriedades Gerais - Configuração Servidor
- Simulação - Redirecionamento Negado
- Simulação - Redirecionamento Permitido
- Simulação - Redirecionamento Contexto DatasulTabelas utilizadas
01. VISÃO GERAL
02. EXEMPLO DE UTILIZAÇÃO
03. TELA XXXXX
Outras Ações / Ações relacionadas
...
O login do produto está propenso a vulnerabilidade Open Redirect, no qual um invasor pode alterar a URL de destino após efetuado o login e potencialmente interceptar dados.
Por conta disso, foi desenvolvida uma forma de sanar essa vulnerabilidade e permitir o redirecionamento apenas para as URL's definidas pelo usuário.
02. PARAMETRIZAÇÃO
No programa "Propriedades Segurança" dentro do Datasul é necessário acessar a aba "URL" e fazer as devidas parametrizações abaixo:
- Habilitar restrição de URLs desconhecidas?
Ao habilitar este campo, o Datasul entenderá que o usuário deseja restringir o redirecionamento de URL's apenas para as que forem parametrizadas no campo URLs permitidas para o redirecionamento, impossibilitando o redirecionamento para qualquer URL que não esteja cadastrada.
- URLs permitidas para o redirecionamento
Este campo se refere às URL's que têm permissão para fazer o redirecionamento (lembrando que só irá passar a valer as URL's cadastradas se o campo Habilitar restrição de URLs desconhecidas estiver Habilitado).
03. VALIDAÇÃO PROPRIEDADES GERAIS - CONFIGURAÇÃO SERVIDOR
No processo de redirecionamento de URL há uma validação em relação a configuração do servidor parametrizado no programa "Propriedades Gerais".
Ao habilitar a restrição de URL's conforme explicado no item 02 deste documento, o Datasul irá restringir o redirecionamento apenas para as URL's inseridas no campo URLs permitidas para o redirecionamento, no entanto, para contextos que se referem ao próprio produto do Datasul, essa regra NÃO se aplicará, ou seja, qualquer URL que tenha o contexto que está no campo Endereço IP ou nome do servidor de aplicação Web + Porta do servidor de aplicação Web OU Endereço IP ou nome do servidor de aplicação Web (Externo) + Porta do servidor de aplicação Web (Externo) terá o redirecionamento realizado sem restrições.
No exemplo acima, caso o redirecionamento seja para qualquer URL que inicie com http(s)://10.589.47.69:8080 OU http(s)://SERVIDOR-885699447:80, por mais que o campo Habilitar restrição de URLs desconhecidas? esteja habilitado e o campo URLs permitidas para o redirecionamento não contenha as URL's do servidor do Datasul, o redirecionamento SERÁ PERMITIDO.
04. SIMULAÇÃO - REDIRECIONAMENTO NEGADO
- Ao tentar realizar o redirecionamento para a URL https://developer.mozilla.org/, através do link http://localhost:8080/totvs-login/resources/login-redirect.html?context=https://developer.mozilla.org, o Datasul PROIBIU o redirecionamento, por conta da URL não estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:
05. SIMULAÇÃO - REDIRECIONAMENTO PERMITIDO
- Ao tentar realizar o redirecionamento para a URL https://rhonline.totvs.com.br:8090, através do link http://localhost:8080/totvs-login/resources/login-redirect.html?context=https://rhonline.totvs.com.br:8090, o Datasul PERMITIU o redirecionamento, por conta da URL estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:
06. SIMULAÇÃO - REDIRECIONAMENTO CONTEXTO DATASUL
- Ao simular a aprovação de um pedido externo (do contexto Datasul), foi PERMITIDO o redirecionamento, por mais que a URL não esteja cadastrada nas propriedades, por conta de ser do mesmo contexto do que está cadastrado em "Propriedades Gerais", conforme abaixo:
04. TELA XXXXX
Principais Campos e Parâmetros
...
Card documentos | ||||
---|---|---|---|---|
|
...