La falsificación de solicitudes entre sitios (CSRF) es una vulnerabilidad del sitio web en la que se utiliza el explorador de un usuario válido para enviar una solicitud maliciosa, posiblemente a través de un iFrame. Dado que el explorador envía cookies en función del dominio, si el usuario ha iniciado sesión en una aplicación, los datos del usuario pueden verse comprometidos.
Por ejemplo, imagine un escenario en el que ha iniciado sesión en la consola de administración en un explorador. Recibirá un mensaje de correo electrónico que contiene un vínculo. Hace clic en el vínculo, que abre una nueva pestaña en el explorador. AEM La página que ha abierto contiene un iFrame oculto que realiza una solicitud malintencionada al servidor de Forms mediante la cookie de la sesión de formularios autenticados del usuario. Como Administración de usuarios recibe una cookie válida, pasa la solicitud.
Referer: La dirección de la página de origen de la que proviene una solicitud. Por ejemplo, una página web en site1.com contiene un vínculo a site2.com. Al hacer clic en el vínculo, se publica una solicitud en site2.com. El referente de esta solicitud es site1.com porque la solicitud se realiza desde una página cuyo origen es site1.com.
URI incluidos en la lista de permitidos: Los URI identifican recursos del servidor de Forms que se solicitan, por ejemplo, /adminui o /contentspace. Algunos recursos pueden permitir que una solicitud entre en la aplicación desde sitios externos. Estos recursos se consideran URI incluidos en la lista de permitidos. El servidor de Forms nunca realiza una comprobación del referente desde URI incluidos en la lista de permitidos.
Referente nulo: Al abrir una nueva ventana o ficha del explorador, escribir una dirección y pulsar Entrar, el referente es nulo. La solicitud es completamente nueva y no se origina desde una página web principal; por lo tanto, no hay ningún referente para la solicitud. El servidor de Forms puede recibir un referente nulo de:
Permitir un referente nulo en los extremos SOAP y REST. También permita un referente nulo en todas las páginas de inicio de sesión de URI como /adminui y /contentspace y sus recursos asignados correspondientes. Por ejemplo, el servlet asignado para /contentspace es /contentspace/faces/jsp/login.jsp, que debería ser una excepción de referente nulo. Esta excepción solo es necesaria si habilita el filtrado de GET para la aplicación web. Las aplicaciones pueden especificar si se permiten referentes nulos. Consulte "Protección frente a ataques de falsificación de solicitud en sitios múltiples" en AEM Protección y seguridad para formularios de.
Excepción de referente permitido: Excepción de referente permitida es una sublista de la lista de referentes permitidos, desde los que se bloquean las solicitudes. Las excepciones de referencia permitidas son específicas de una aplicación web. Si no se debe permitir que un subconjunto de los referentes permitidos invoque una aplicación web determinada, se puede realizar la lista de bloqueados de los referentes a través de Excepciones de referentes permitidos. Las excepciones de referentes permitidos se especifican en el archivo web.xml de la aplicación. AEM (Consulte "Protección frente a ataques de falsificación de solicitud en sitios múltiples" en Protección y seguridad para formularios en forma de en la página Ayuda y Tutorials ).
AEM Los formularios de proporcionan un filtrado de referentes, que puede ayudar a evitar ataques de CSRF. Funciona el filtrado de referentes de la siguiente manera:
El servidor de Forms comprueba el método HTTP utilizado para la invocación:
El servidor de Forms comprueba si el URI solicitado está incluido en la lista de permitidos:
Si hay un referente en la solicitud, el servidor comprueba si es un referente permitido. Si está permitido, el servidor comprueba la existencia de una excepción de referente:
Si no hay ningún referente en la solicitud, el servidor comprueba si se permite un referente nulo.
Al ejecutar el Administrador de configuración, el host predeterminado y la dirección IP o el servidor de Forms se agregan a la lista Referentes permitidos. Puede editar esta lista en la consola de administración.
En la consola de administración, haga clic en Configuración > User Management > Configuración > Configurar direcciones URL de referentes permitidos. La lista Referente permitidos aparece en la parte inferior de la página.
Para agregar un referente permitido:
0
(cero) en los cuadros, todos los puertos de ese servidor están habilitados. También puede especificar un número de puerto específico para habilitar sólo ese puerto.Para quitar una entrada de la lista Referente permitidos, seleccione el elemento de la lista y haga clic en Eliminar.
Si la Lista de referentes permitidos está vacía, la función CSRF deja de funcionar y el sistema se vuelve inseguro.
AEM Después de cambiar la lista Referente permitidos, reinicie el servidor de Forms de la.