API (OAuth-instellingen inschakelen): Stroominstellingen voor autorisatiecode- en inloggegevens

Controlenaam

Verbonden apps: API (OAuth-instellingen inschakelen): Stroominstellingen voor autorisatiecode- en inloggegevens

Aanbevolen configuratie

Schakel Stroom Autorisatiecode- en inloggegevens in.

Niet vereisen of de selectie opheffen van Geheim vereisen voor webserverstroom en Geheim vereisen voor stroom vernieuwingstoken.

Overzicht van besturingselementen

Met dit besturingselement configureert u de specifieke beveiligingsvereisten voor de stroom "Autorisatiecode- en inloggegevens", die bepaalt of een klantgeheim moet worden gevalideerd op basis van het gegeven of de toepassing een "Privéclient" (serverzijde) of een "Openbare client" (browser/mobiel) is.

Beveiligingsrisico indien niet geconfigureerd

Door een geheim onjuist te vereisen voor openbare clients wordt de harde codering van inloggegevens afgedwongen in front-endcode waar ze gemakkelijk kunnen worden gestolen, terwijl aanvallers door het niet vereisen van een geheim voor privéclients onderschepte codes kunnen uitwisselen zonder de persoonlijke sleutel van de toepassing nodig te hebben.

Dreigingsscenario's

Een aanvaller decompileert een mobiele app om een hard-coded klantgeheim te extraheren of onderschept een autorisatiecode van een app aan de serverzijde en wisselt deze met succes in voor een toegangstoken met hoog privilege, omdat er geen geheim vereist was voor de uitwisseling.

Geschatte CVSS-scorebereik

Kritiek (9,0–10,0).

Overwegingen bij risico-impact

Verkeerde configuratie leidt tot het compromitteren van clientinloggegevens of het inschakelen van ongeoorloofde sessie-overname, die beide resulteren in aanhoudende, niet-geauthenticeerde toegang tot gevoelige gegevens.

Hoger risico wanneer

Wanneer de stroom wordt gebruikt voor integraties met hoge machtigingen die geen PKCE (Proof Key for Code Exchange) als secundaire verdediging hebben of wanneer geheimen worden opgeslagen in opslagplaatsen aan de clientzijde van platte tekst.

Laag risico wanneer

Wanneer "Privéclients" strikt geheimen afdwingen die zijn opgeslagen in veilige kluizen aan serverzijde en "Openbare clients" PKCE gebruiken om de uitwisseling te beveiligen zonder een kwetsbaar gedeeld geheim nodig te hebben.

Overwegingen bij bedrijf en integratie

Het correct implementeren hiervan vereist een duidelijk architecturaal onderscheid tussen back-endgestuurde en front-endgestuurde toepassingen om ervoor te zorgen dat het juiste "geheime" beleid wordt toegepast zonder de authenticatiehanddruk te verbreken.

Aanbevolen oplossing

Selecteer voor privé-/serverclients zowel "Geheim vereisen voor webserverstroom" als "Geheim vereisen voor vernieuwingstokenstroom". Hef voor openbare/mobiele clients de selectie van deze opties op en implementeer in plaats daarvan PKCE.

Begeleiding bij beoordeling van beveiligingstoestand

Beoordeling van beveiligingstoestand benadrukt dat de beveiliging van een geheim volledig afhankelijk is van het vermogen van de cliënt om het te beschermen, en vereist dat gedeelde geheimen nooit worden blootgesteld aan de browser of mobiele omgeving.