Verbesserung der Sicherheit für das API-Framework in Zoho CRM
Ein wichtiger Hinweis für API-Benutzer in Zoho CRM.
Zoho CRM wird ab dem 8. April 2017 einige Verbesserungen bei der Sicherheit des API-Frameworks vornehmen. Diese Verbesserungen setzen voraus, dass die API-Benutzer einige Zeichen eines Parameterwertes codieren. Die detaillierte Liste der Zeichen wird weiter unten aufgeführt. Diese Zeichen gelten nach diesem Update – bei Verwendung als Parameterwerte – nicht mehr als sicher.
Daher empfehlen wir dringend, dass Sie Ihre API-Aufrufe prüfen und ggf. unsichere Zeichen vor dem 8. April 2017 codieren. Andernfalls können bestehenden API-Aufrufe Schaden nehmen.
Weshalb die Codierung erforderlich ist
Wenn Sie die unsicheren Zeichen in Ihrem API-Aufruf verwenden, gehen Sie das Risiko ein, anfällig für Sicherheitsprobleme zu sein. Hier ist eine kurze Beschreibung der Sicherheitsanfälligkeit, die Sie beim Verwenden unsicherer Zeichen riskieren:
The code that parses the HTTP request line permits invalid characters. This could be exploited, in conjunction with a proxy that may also permit the invalid characters but with a different interpretation, in order to inject data into the HTTP response. By manipulating the HTTP response, an attacker could poison a web-cache, perform an XSS attack, and/or obtain sensitive information from requests other than their own.
Aus diesem Grund führen wir die Maßnahmen zur Verbesserung der Sicherheit im nächsten Monat durch. Sie sollten deshalb die unsicheren Zeichen in Ihren API-Aufrufen vor dem 8. April 2017 codieren.
Zu codierende Zeichen
Im Folgenden finden Sie eine Liste mit den sicheren und unsicheren Zeichen: Die unsicheren Zeichen müssen codiert werden.
Sichere Zeichen, bei denen keine Codierung erforderlich ist:
- Alphanumerische Zeichen: [0-9, a-z, A-Z]
- Sonderzeichen: $ - _ . + ! * ' ( ) ,
- ReservierteZeichen, wenn sie für ihre Zwecke reserviert sind (Beispiel / ? : =
& )
Unsichere Zeichen, die codiert werden müssen:
- ASCII-Steuerzeichen:
ISO-8859-1 (ISO-Lateinisch) Zeichenbereiche 00-1F hex (0-31 dezimal) und 7F (127 dezimal.) - Nicht-ASCII-Zeichen:
Gesamte "obere Hälfte" des ISO-Lateinsatzes 80-FF hex (128-255 dezimal). - Unsichere Zeichen
Leerzeichen und "< > # % { } | \ ^ ~ [ ] ` - ReservierteZeichen, wenn sie NICHT für ihre reservierten oder definierten Zwecke verwendet werden.
Betrachten Sie beispielsweise die folgende URL:
Falsche URL:
In Amelia{Burrows) ist gemäß obiger Liste { als unsicheres Zeichen vorhanden. Wenn Sie dieses Zeichen nicht codieren, führt dies nach der verbesserten Sicherheit zu einem Fehler.
Stattdessen muss es als %7B codiert werden.
Richtige URL:
Der fehlerhafte Parameterwert wurde codiert. Die richtige URL lautet daher wie folgt:
Siehe obige Liste zur Erkennung der unsicheren Zeichen und zur entsprechenden Codierung der Zeichen in Ihren URLs vor dem 8. April 2017.
Informationen zum Codierungs-Verfahren
Nachfolgend finden Sie das Verfahren zur Zeichen-Codierung in den verschiedenen Sprachen.
| Sprache | Skript |
| JAVA | URLEncoder.encode("(Last Name:Amelia{Burrows)", "UTF-8"); |
| Ruby | URI::encode ("(Last Name:Amelia{Burrows)") |
| PHP | urlencode("(Last Name:Amelia{Burrows)") |
Wenn Sie Fragen haben, senden Sie uns bitte eine E-Mail an support@zohocrm.com.