Google ve Mandiant tehdit istihbaratı birimi, Salesforce Experience Cloud uygulamalarındaki veri erişim yollarını denetlemeyi amaçlayan açık kaynaklı bir araç olan AuraInspector’ı piyasaya sürdü. Araç, birçok Salesforce kullanıcı arayüzünün temelini oluşturan ve verilerin nasıl alınıp görüntülendiği konusunda merkezi bir rol oynayan Aura çerçevesine odaklanıyor.
Experience Cloud’da Aura uç noktalarına odaklanın
AuraInspector, Salesforce Aura uç noktalarının standart uygulama işlevleri aracılığıyla verileri nasıl ortaya çıkardığını incelemek için tasarlanmıştır. Deneyim Bulutu siteleri, bazı dağıtımlarda kimliği doğrulanmamış veya harici kullanıcılar da dahil olmak üzere kullanıcılara kayıt sağlamak için Aura bileşenlerine güvenir.
Mandiant, Salesforce izinlerinin yapısının bu ortamların geniş ölçekte denetlenmesini zorlaştırdığını söyledi.
Mandiant Siber Güvenlik Danışmanları şunları söyledi: “Bugüne kadar Salesforce yöneticileri için gerçek bir zorluk, Salesforce nesneleri paylaşım kurallarının birden çok düzeyde yapılandırılabilmesi ve bu durumun potansiyel yanlış yapılandırmaların tanımlanmasını karmaşık hale getirebilmesidir. Sonuç olarak Aura uç noktası, Salesforce Deneyim Bulutu uygulamalarında en sık hedeflenen uç noktalardan biridir.”
Araç veri erişimini nasıl değerlendirir?
AuraInspector, Aura uç noktalarını sorgulayan ve aşırı veri maruziyeti belirtilerine karşı yanıtları analiz eden bir komut satırı aracı olarak çalışır. Kullanıcılara hangi verilerin döndürüleceğini etkileyebilecek kayıt listesi bileşenlerini, nesne izinlerini ve kendi kendine kayıt yapılandırmalarını kontrol eder.
Aura yöntemleri, tanımlanmış izin modelleri kapsamında sınırlı kayıt kümelerini döndürmek için tasarlanmıştır. Sıralama ve sayfalandırma teknikleri de dahil olmak üzere belirli sorgu modelleri, izinler izin verdiğinde daha büyük veri kümelerini alabilir. AuraInspector bu kontrolleri otomatikleştirir ve sonuçları incelenmek üzere ortaya çıkarır.
AuraInspector GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Help Net Security’nin reklamsız aylık bültenine abone olun. Buradan abone olun!