CRM Ondersteuning

Verbeteringen van de beveiliging van het Zoho CRM API-framework

Een aankondiging voor Zoho CRM API-gebruikers.

Zoho CRM zal enkele verbeteringen van de beveiliging van het API-framework doorvoeren op 8 april 2017. Deze verbetering vereist dat API-gebruikers enkele tekens van een parameterwaarde coderen. De gedetailleerde lijst van tekens staat hieronder vermeld. Deze tekens, wanneer gebruikt als parameterwaarden, worden niet langer veilig bevonden na deze update.

Daarom adviseren wij u nadrukkelijk uw API-aanroepen te controleren en onveilige tekens te coderen vóór 8 APRIL 2017. Als u dit nalaat, kan dit leiden tot een breuk van bestaande API-aanroepen.

Waarom codering is vereist

Wanneer u onveilige tekens in uw API-aanroepen gebruikt, loop u een risico op beveiligingsproblemen. Hier volgt een korte beschrijving van het risico dat u loopt wanneer u onveilige tekens gebruikt:

De code die de HTTP-verzoekregel parseert staat ongeldige tekens toe. Dit kan worden misbruikt, in combinatie met een proxy die mogelijk ook de ongeldige tekens toestaat maar met een andere interpretatie, om gegevens in te geven in de HTTP-response. Door het manipuleren van de HTTP-response kan een aanvaller een webcache besmetten, een XSS-aanval uitvoeren en/of gevoelige gegevens afkomstig van niet-eigen verzoeken verkrijgen.

Dit is de reden dat we volgende maand deze beveiligingsverbeteringen doorvoeren. We verzoeken u daarom nadrukkelijk om onveilige tekens in uw API-aanroepen te coderen voor 8 april 2017.

Te coderen tekens

Hieronder volgt een lijst met veilige en onveilige tekens. De onveilige tekens moeten worden gecodeerd.

Veilige tekens die geen codering behoeven:

  • Alfanumerieke tekens: [0-9 a-z A-Z]
  • Specialetekens: $ -_ . + ! * ' ( ) ,
  • Gereserveerdetekens wanneer deze gebruikt worden voor hun specifieke doeleinden (bijv. / ? : = &)

Onveilige tekens die gecodeerd moeten worden

  • ASCII-besturingstekens:
    ISO-8859-1 (ISO-Latijns) tekenreeksen 00-1F hex (0-31 decimaal) en 7F (127 decimaal.)
  • Niet-ASCII-tekens:
    volledige ‘bovenste helft' van de ISO-Latijnse reeks 80-FF Hex (128-255 decimaal.)
  • Onveilige tekens
    blanco/lege ruimte en " < > # % { } | \ ^ ~ [ ] '
  • Gereserveerdetekens wanneer deze niet voor hun specifieke doeleinden gebruikt worden.

Neem bijvoorbeeld de volgende URL:

Onjuiste URL:

https://crm.zoho.com/crm/private/xml/Leads/searchRecords?authtoken=<authtoken>&criteria=(Last Name:Amelia{Burrows)

In Amelia{Burrows) is volgens de bovenstaande lijst { een onveilig teken. Als u dit teken niet codeert, zal dit resulteren in een foutmelding na de verbetering van de beveiliging.

In plaats daarvan moet dit worden gecodeerd als %7B.

Juiste URL:

De onjuiste parameterwaarde is gecodeerd. De juiste URL is daarom als volgt:

https://crm.zoho.com/crm/private/xml/Leads/searchRecords?authtoken=<authtoken>&criteria=%28Last+Name%3AScott%7BBurrows%29

Raadpleeg de bovenstaande lijst om de onveilige tekens op te zoeken en zorg ervoor dat de in uw URL’s aanwezige tekens op de juiste manier gecodeerd worden vóór 8 april 2017.

Hoe te coderen

Dit is de procedure voor het coderen van de tekens in verschillende talen.

TaalScript
JAVAURLEncoder.encode("(Last Name:Amelia{Burrows)", "UTF-8");
RubyURI::encode("(Last Name:Amelia{Burrows)")
PHPurlencode("(Last Name:Amelia{Burrows)")

Mocht u nog vragen hebben, stuur ons dan een e-mail via support@zohocrm.com

Share this post : FacebookTwitter

Still can't find what you're looking for?

Write to us: support@zohocrm.com