Redirecionamento de Login (propriedades-segurança)

CONTEÚDO

1. Visão Geral
2. Parametrização
3. Validação Propriedades Gerais - Configuração Servidor
4. Simulação - Redirecionamento Negado
   
5. Simulação - Redirecionamento Permitido
   
6. Simulação - Redirecionamento Contexto Datasul

01. VISÃO GERAL

O login do produto está propenso a vulnerabilidade Open Redirect, no qual um invasor pode alterar a URL de destino após efetuado o login e potencialmente interceptar dados.

Por conta disso, foi desenvolvida uma forma de sanar essa vulnerabilidade e permitir o redirecionamento apenas para as URL's definidas pelo usuário.

02. PARAMETRIZAÇÃO

No programa "Propriedades Segurança" dentro do Datasul é necessário acessar a aba "URL" e fazer as devidas parametrizações abaixo:

• Habilitar restrição de URLs desconhecidas?

Ao habilitar este campo, o Datasul entenderá que o usuário deseja restringir o redirecionamento de URL's apenas para as que forem parametrizadas no campo URLs permitidas para o redirecionamento, impossibilitando o redirecionamento para qualquer URL que não esteja cadastrada.

• URLs permitidas para o redirecionamento

Este campo se refere às URL's que têm permissão para fazer o redirecionamento (lembrando que só irá passar a valer as URL's cadastradas se o campo Habilitar restrição de URLs desconhecidas estiver Habilitado).

03. VALIDAÇÃO PROPRIEDADES GERAIS - CONFIGURAÇÃO SERVIDOR

No processo de redirecionamento de URL há uma validação em relação a configuração do servidor parametrizado no programa "Propriedades Gerais".

Ao habilitar a restrição de URL's conforme explicado no item 02 deste documento, o Datasul irá restringir o redirecionamento apenas para as URL's inseridas no campo URLs permitidas para o redirecionamento, no entanto, para contextos que se referem ao próprio produto do Datasul, essa regra NÃO se aplicará, ou seja, qualquer URL que tenha o contexto que está no campo Endereço IP ou nome do servidor de aplicação Web + Porta do servidor de aplicação Web OU Endereço IP ou nome do servidor de aplicação Web (Externo) + Porta do servidor de aplicação Web (Externo) terá o redirecionamento realizado sem restrições.

No exemplo acima, caso o redirecionamento seja para qualquer URL que inicie com http(s)://10.589.47.69:8080 OU http(s)://SERVIDOR-885699447:80, por mais que o campo Habilitar restrição de URLs desconhecidas? esteja habilitado e o campo URLs permitidas para o redirecionamento não contenha as URL's do servidor do Datasul, o redirecionamento SERÁ PERMITIDO.

04. SIMULAÇÃO - REDIRECIONAMENTO NEGADO

• Ao tentar realizar o redirecionamento para a URL https://developer.mozilla.org/, através do link http://localhost:8080/totvs-login/resources/login-redirect.html?context=https://developer.mozilla.org, o Datasul PROIBIU o redirecionamento, por conta da URL não estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:

05. SIMULAÇÃO - REDIRECIONAMENTO PERMITIDO

• Ao tentar realizar o redirecionamento para a URL https://rhonline.totvs.com.br:8090, através do link http://localhost:8080/totvs-login/resources/login-redirect.html?context=https://rhonline.totvs.com.br:8090, o Datasul PERMITIU o redirecionamento, por conta da URL estar cadastrada e a flag de restrição à URL's desconhecidas estar habilitada, conforme abaixo:

06. SIMULAÇÃO - REDIRECIONAMENTO CONTEXTO DATASUL

• Ao simular a aprovação de um pedido externo (do contexto Datasul), foi PERMITIDO o redirecionamento, por mais que a URL não esteja cadastrada nas propriedades, por conta de ser do mesmo contexto do que está cadastrado em "Propriedades Gerais", conforme abaixo: