Вы находитесь здесь:
API (Включить параметры OAuth): Отключение управления потоком регистрационных данных клиента
Этот контроль включает отключение небезопасных потоков «Регистрационные данные клиента» в пользу высоконадежных методов проверки подлинности на основе сертификата, например, потока носителя JWT или приложений внешних клиентов (ECA).
Управление именем
Связанные приложения: API (Включить параметры OAuth): Отключение потока регистрационных данных клиента
Рекомендованная конфигурация
Отключите поток регистрационных данных клиента.
Общие сведения о контроле
Этот контроль включает отключение небезопасных потоков «Регистрационные данные клиента» в пользу высоконадежных методов проверки подлинности на основе сертификата, например, потока носителя JWT или приложений внешних клиентов (ECA).
Риск безопасности, если он не настроен
Эти потоки часто зависят от статического кода клиента и секрета клиента (а иногда и паролей пользователей), которые действуют как «общедоступные секреты», которые легко взломать, если жестко запрограммировать в сценариях или открыть в файлах конфигурации.
Сценарии угроз
Злоумышленник обнаруживает жестко запрограммированный секрет клиента в общедоступном хранилище GitHub или внутренней документации и использует его для программной проверки подлинности в качестве учетной записи высокопривилегированного обслуживания, получая полный API-доступ к организации.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Использование небезопасных регистрационных данных приводит к постоянному неинтерактивному захвату организаций, позволяя противнику извлекать массовые объемы данных или изменять конфигурацию системы, не запуская традиционные вызовы MFA.
Повышенный риск при
Если поток регистрационных данных клиента связан с пользователем, назначенным профилю «Системный администратор» или профилю с полномочиями «Изменение всех данных».
Низкий риск при
Если компания внедрила строгие диапазоны IP-адресов входа для пользователя интеграции и использует мониторинг запросов API в реальном времени для обнаружения аномального массового трафика.
Рекомендации по бизнесу и интеграции
Отключение этих потоков требует миграции существующего промежуточного программного обеспечения (например, MuleSoft, Boomi или настраиваемые сценарии Python) для использования потоков JWT на основе сертификатов, что включает управление сертификатами X.509 и обновление клиентской логики.
Рекомендованное исправление
Перейдите в параметры OAuth связанного приложения, снимите флажок «Включить поток регистрационных данных клиента» и перейдите к интеграции для использования потока носителя JWT с цифровым сертификатом.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет удаление устаревших потоков регистрационных данных на основе паролей в качестве важнейшего шага в модернизации безопасности удостоверений и перехода к архитектуре Zero Trust для всех интеграций между системами.
