breadcrumbDescription
API (Aktiver OAuth-indstillinger): Forløbsindstillinger for autorisationskode og legitimationsoplysninger
Denne kontrol konfigurerer de specifikke sikkerhedskrav for "Godkendelseskode og legitimationsoplysningsforløb".
Kontrolnavn
Tilsluttede apps: API (Aktiver OAuth-indstillinger): Forløbsindstillinger for autorisationskode og legitimationsoplysninger
Anbefalet konfiguration
Aktiver autorisationskode og legitimationsoplysningsforløb.
Kræv ikke eller fravælg Kræv hemmelighed for webserverforløb og Kræv hemmelighed for opdateringstokenforløb.
Kontroller oversigt
Denne kontrol konfigurerer de specifikke sikkerhedskrav for "Godkendelseskode og legitimationsoplysningsforløb", der bestemmer, om en klienthemmelighed skal valideres baseret på, om applikationen er en "Privat klient" (serverside) eller en "Offentlig klient" (browser/mobil).
Sikkerhedsrisiko, hvis den ikke er konfigureret
Hvis du forkert kræver en hemmelighed for offentlige klienter, tvinger du hardcodningen af legitimationsoplysninger ind i front-end-kode, hvor de nemt kan stjæles, mens det at undlade at kræve en hemmelighed for private klienter giver angribere mulighed for at udveksle afhentede koder uden at skulle bruge applikationens private nøgle.
Trusselscenarier
En angriber dekompilerer en mobilapp for at udtrække en hardcodet klienthemmelighed eller opfanger en autorisationskode fra en serverapplikation og handler den med succes for et adgangstoken med høj rettighed, da der ikke var nogen hemmelighed påkrævet til udvekslingen.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Forkert konfiguration fører enten til kompromittering af klientlegitimationsoplysninger eller aktivering af uautoriseret sessionsovertagelse, som begge resulterer i vedvarende, ikke-godkendt adgang til følsomme data.
Højere risiko når
Når forløbet bruges til integrationer med høje rettigheder, der mangler PKCE (Proof Key for Code Exchange) som et sekundært forsvar, eller når hemmeligheder lagres i lagre på klientsiden med almindelig tekst.
Lav risiko når
Når "Private Clients" strengt håndhæver hemmeligheder, der er lagret i sikre serversideværfter, og "Offentlige klienter" bruger PKCE til at sikre udvekslingen uden at have brug for en sårbar delt hemmelighed.
Overvejelser i forbindelse med forretning og integration
Implementering af dette korrekt kræver en tydelig arkitektonisk sondring mellem backend-styrede og frontend-styrede applikationer for at sikre, at den relevante "hemmelige" politik anvendes uden at bryde godkendelseshåndshaken.
Anbefalet rettelse
For private/serverklienter skal du vælge både "Kræv hemmelighed for webserverforløb" og "Kræv hemmelighed for opdateringstokenforløb". For offentlige/mobilklienter skal du fravælge disse indstillinger og implementere PKCE i stedet for.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandsgennemgang fremhæver, at sikkerheden af en hemmelighed helt afhænger af klientens mulighed for at beskytte den, og bestræber sig på, at ingen delte hemmeligheder nogensinde udsættes for browseren eller mobilmiljøet.
