Histórico da Página
CONTEÚDO
- Visão Geral
- Exemplo de utilização
- Tela XXX
- Outras Ações / Ações relacionadas
- Outras Ações / Ações relacionadas
- Tela XXX
- Principais Campos e Parâmetros
- Principais Campos e Parâmetros
- Tabelas utilizadas
- Parametrização
- Simulação - Redirecionamento Negado
- Simulação - Redirecionamento Permitido
01. VISÃO GERAL
O login do produto está propenso a vulnerabilidade Open Redirect, no qual um invasor pode alterar a URL de destino após efetuado o login e potencialmente interceptar dados.
02. EXEMPLO DE UTILIZAÇÃO
03. TELA XXXXX
Outras Ações / Ações relacionadas
...
Por conta disso, foi desenvolvido uma lógica para sanar a vulnerabilidade e permitir o redirecionamento apenas para as URL's definidas pelo usuário.
02. PARAMETRIZAÇÃO
No programa "Propriedades Segurança" dentro do Datasul é necessário acessar a aba "URL" e fazer as devidas parametrizações abaixo:
- Habilitar restrição de URLs desconhecidas?Ao habilitar este campo, o Datasul entenderá que o usuário deseja restringir o redirecionamento de URL's apenas para as que forem parametrizadas no campo URLs permitidas para o redirecionamento, ou seja, a partir de agora está impossibilitado o redirecionamento para qualquer URL que não esteja cadastrada.
- URLs permitidas para o redirecionamentoEste campo se refere às URL's que têm permissão para fazer o redirecionamento (lembrando que só irá passar a valer as URL's cadastradas se o campo Habilitar restrição de URLs desconhecidas estiver Habilitado).
03. SIMULAÇÃO - REDIRECIONAMENTO NEGADO
- Ao tentar realizar o redirecionamento para a URL https://developer.mozilla.org/, através do link http://localhost:8080/totvs-login/resources/login-redirect.html?context=https://developer.mozilla.org, o Datasul PROIBIU o redirecionamento, por conta da URL não estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:
04. SIMULAÇÃO - REDIRECIONAMENTO PERMITIDO
- Ao tentar realizar o redirecionamento para a URL http://google.com.br, através do link ttp://localhost:8080/totvs-login/resources/login-redirect.html?context=http://google.com.br, o Datasul PERMITIU o redirecionamento, por conta da URL estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:
04. TELA XXXXX
Principais Campos e Parâmetros
...
| Card documentos | ||||
|---|---|---|---|---|
|
...
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas