您在此处:
API(启用 OAuth 设置):禁用客户端凭据流控制
此控制包括禁用不安全的“客户端凭据”流,而支持高保证、基于证书的身份验证方法,例如 JWT 不记名流或外部客户端应用程序 (ECA)。
控件名称
连接的应用程序:API(启用 OAuth 设置):禁用客户端凭据流
推荐配置
禁用客户端凭据流。
控制概览
此控制包括禁用不安全的“客户端凭据”流,而支持高保证、基于证书的身份验证方法,例如 JWT 不记名流或外部客户端应用程序 (ECA)。
安全风险(如果未配置)
这些流通常依赖于静态客户端 ID 和客户端密码(有时还有用户密码),它们充当“共享密码”,如果在脚本中硬编码或在配置文件中公开,它们很容易被泄露。
威胁场景
攻击者在公共 GitHub 存储库或内部文档中发现硬编码客户端密码,并将其用作高权限服务帐户进行编程身份验证,从而获得对组织的完整 API 访问权限。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
使用不安全的凭据会导致持续的、非交互式的帐户接管,允许对手泄露大量数据或修改系统配置,而不会触发传统的 MFA 挑战。
高风险
如果客户端凭据流与分配给“系统管理员”简档或具有“修改所有数据”权限的简档的用户相关联。
低风险
如果公司为集成用户实施了严格的登录 IP 范围,并使用实时 API 请求监控来检测异常的高用量流量。
业务和集成注意事项
禁用这些流需要迁移现有中间件(例如 MuleSoft、Boomi 或自定义 Python 脚本),以使用基于证书的 JWT 流,这涉及管理 X.509 证书和更新客户端逻辑。
建议的补救措施
转到连接的应用程序 OAuth 设置,取消选中“启用客户端凭据流”框,并将集成转换为通过数字证书使用 JWT 不记名流。
安全健康审查指导
安全运行状况审查将删除传统的、基于密码的凭据流确定为实现身份安全性现代化和为所有系统到系统集成转向 Zero Trust 架构的关键步骤。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
