Histórico da Página
...
- Visão Geral
- Parametrização
- Validação Propriedades Gerais - Configuração Servidor
- Simulação - Redirecionamento Negado
- Simulação - Redirecionamento Permitido
- Simulação - Redirecionamento Contexto Datasul
01. VISÃO GERAL
O login do produto está propenso a vulnerabilidade Open Redirect, no qual um invasor pode alterar a URL de destino após efetuado o login e potencialmente interceptar dados.
Por conta disso, foi desenvolvido desenvolvida uma lógica para forma de sanar a essa vulnerabilidade e permitir o redirecionamento apenas para as URL's definidas pelo usuário.
...
- Habilitar restrição de URLs desconhecidas?
Ao habilitar este campo, o Datasul entenderá que o usuário deseja restringir o redirecionamento de URL's apenas para as que forem parametrizadas no campo URLs permitidas para o redirecionamento,
...
impossibilitando o redirecionamento para qualquer URL que não esteja cadastrada.
- URLs permitidas para o redirecionamento
Este campo se refere às URL's que têm permissão para fazer o redirecionamento (lembrando que só irá passar a valer as URL's cadastradas se o campo Habilitar restrição de URLs
...
desconhecidas estiver Habilitado).
03. VALIDAÇÃO PROPRIEDADES GERAIS - CONFIGURAÇÃO SERVIDOR
No processo de redirecionamento de URL há uma validação em relação a configuração do servidor parametrizado no programa "Propriedades Gerais".
Ao habilitar a restrição de URL's conforme explicado no item 02 deste documento, o Datasul irá restringir o redirecionamento apenas para as URL's inseridas no campo URLs permitidas para o redirecionamento, no entanto, para contextos que se referem ao próprio produto do Datasul, essa regra NÃO se aplicará, ou seja, qualquer URL que tenha o contexto que está no campo Endereço IP ou nome do servidor de aplicação Web + Porta do servidor de aplicação Web OU Endereço IP ou nome do servidor de aplicação Web (Externo) + Porta do servidor de aplicação Web (Externo) terá o redirecionamento realizado sem restrições.
No exemplo acima, caso o redirecionamento seja para qualquer URL que inicie com http(s)://10.589.47.69:8080 OU http(s)://SERVIDOR-885699447:80, por mais que o campo Habilitar restrição de URLs desconhecidas? esteja habilitado e o campo URLs permitidas para o redirecionamento não contenha as URL's do servidor do Datasul, o redirecionamento SERÁ PERMITIDO.
...
04.
SIMULAÇÃO - REDIRECIONAMENTO NEGADO
- Ao tentar realizar o redirecionamento para a URL https://developer.mozilla.org/, através do link http://localhost:8080/totvs-login/resources/login-redirect.html?context=https://developer.mozilla.org, o Datasul PROIBIU o redirecionamento, por conta da URL não estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:
...
05.
...
SIMULAÇÃO - REDIRECIONAMENTO PERMITIDO
- Ao tentar realizar o redirecionamento para a URL httphttps://googlerhonline.totvs.com.br:8090, através do link ttphttp://localhost:8080/totvs-login/resources/login-redirect.html?context=httphttps://googlerhonline.totvs.com.br:8090, o Datasul PERMITIU o redirecionamento, por conta da URL estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:
06. SIMULAÇÃO - REDIRECIONAMENTO CONTEXTO DATASUL
- Ao simular a aprovação de um pedido externo (do contexto Datasul), foi PERMITIDO o redirecionamento, por mais que a URL não esteja cadastrada nas propriedades, por conta de ser do mesmo contexto do que está cadastrado em "Propriedades Gerais", conforme abaixo: