API (啟用 OAuth 設定):授權代碼和認證流程設定

控制名稱

連線的應用程式:API (啟用 OAuth 設定):授權代碼和認證流程設定

建議組態

啟用「授權代碼和認證流程」。

不需要或取消選取「需要 Web 伺服器流程的密碼」和「需要重新整理權杖流程的密碼」。

控制概觀

此控制項會設定「授權代碼和認證流程」的特定安全性需求,根據應用程式為「私人用戶端」(伺服器端) 或「公用用戶端」(瀏覽器/行動裝置) 來判斷用戶端密碼是否必須驗證。

未設定安全性風險

針對公用用戶端不正確地要求密碼,將認證硬式編碼強制執行至前端程式碼,且這些程式碼可輕鬆遭竊,而不需要私人用戶端的密碼,可讓攻擊者在不需要應用程式私人金鑰的情況下交換截斷的代碼。

威脅情況

攻擊者將行動應用程式解壓縮為解壓縮硬式編碼的用戶端密碼,或從伺服器端應用程式攔截授權代碼,並成功將其換成高權限存取權杖,因為交換不需要任何密碼。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

設定錯誤會導致用戶端認證遭到入侵或啟用未經授權的工作階段劫持,這兩者都會導致對敏感資料的永久未經驗證存取。

風險愈高時機

當流程用於缺乏 PKCE (Proof Key for Code Exchange) 作為次要防禦的高權限整合,或當機密儲存在純文字用戶端儲存庫中時。

低度風險時機

當「私人用戶端」嚴格強制執行儲存在安全伺服器端儲存庫中的機密,且「公用用戶端」使用 PKCE 來保護交換,而不需要易受攻擊的共用密碼。

業務與整合考量事項

若要正確實作,需要在後端驅動應用程式與前端驅動應用程式之間有明確的結構區別,以確保套用適當的「密碼」原則,而不會破壞驗證手勢。

建議的補救措施

針對私人/伺服器端用戶端,請選取「需要 Web 伺服器流程的密碼」和「需要重新整理權杖流程的密碼」;針對公用/行動用戶端,請取消選取這些選項,並改為實作 PKCE。

安全性健康檢閱指南

「安全性健康審查」會強調密碼的安全性完全取決於用戶端保護密碼的能力,並要求不會將任何共用密碼公開至瀏覽器或行動環境。