breadcrumbDescription
API (Aktiver OAuth-indstillinger): Inaktiver forløbskontrol for klientlegitimationsoplysninger
Denne kontrol involverer inaktivering af usikre "Klientlegitimationsoplysninger"-forløb til fordel for højsikrede certifikatbaserede godkendelsesmetoder som JWT Bearer-forløbet eller eksterne klientapps (ECA).
Kontrolnavn
Tilsluttede apps: API (Aktiver OAuth-indstillinger): Inaktiver forløb med klientlegitimationsoplysninger
Anbefalet konfiguration
Inaktiver forløb for klientlegitimationsoplysninger.
Kontroller oversigt
Denne kontrol involverer inaktivering af usikre "Klientlegitimationsoplysninger"-forløb til fordel for højsikrede certifikatbaserede godkendelsesmetoder som JWT Bearer-forløbet eller eksterne klientapps (ECA).
Sikkerhedsrisiko, hvis den ikke er konfigureret
Disse forløb er ofte afhængige af et statisk klient-id og klienthemmelighed (og nogle gange brugeradgangskoder), der fungerer som "delte hemmeligheder", som nemt kompromitteres, hvis de er hardcodede i scripts eller vises i konfigurationsfiler.
Trusselscenarier
En angriber finder en hardcodet klienthemmelighed i et offentligt GitHub-lager eller intern dokumentation og bruger den til programmeringsmæssigt at godkende som en højrettighedsservicekonto og får fuld API-adgang til organisationen.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Brug af usikre legitimationsoplysninger fører til vedvarende, ikke-interaktiv kontoovertagelse, der tillader en modstander at udfiltrere massemængder af data eller redigere systemkonfiguration uden at udløse traditionelle MFA-udfordringer.
Højere risiko når
Hvis forløbet Client Credentials (Klientlegitimationsoplysninger) er knyttet til en bruger, der er tildelt profilen "Systemadministrator" eller en profil med tilladelserne "Rediger alle data".
Lav risiko når
Hvis firmaet har implementeret strenge IP-loginområder for integrationsbrugeren og bruger API-anmodningsovervågning i realtid til at registrere uregelmæssig højvolumen trafik.
Overvejelser i forbindelse med forretning og integration
Inaktivering af disse forløb kræver migrering af eksisterende middleware (f.eks. MuleSoft, Boomi eller tilpassede Python-scripts) til at bruge certifikatbaserede JWT-forløb, hvilket involverer administration af X.509-certifikater og opdatering af logik på klientsiden.
Anbefalet rettelse
Gå til OAuth-indstillinger for tilsluttet app, fjern markeringen af feltet "Aktiver forløb for klientlegitimationsoplysninger", og overfør integrationen til at bruge JWT Bearer-forløbet med et digitalt certifikat.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer fjernelse af forældede, adgangskodebaserede legitimationsoplysningsforløb som et kritisk trin i modernisering af identitetssikkerhed og bevægelse mod en Zero Trust for alle system-til-system-integrationer.
