您位於此處:
API (啟用 OAuth 設定):停用用戶端認證流程
此控制涉及停用不安全的「用戶端認證」流程,以利高保證性憑證式驗證方法,例如 JWT 承載者流程或外部用戶端應用程式 (ECA)。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):停用用戶端認證流程
建議組態
停用「用戶端認證流程」。
控制概觀
此控制涉及停用不安全的「用戶端認證」流程,以利高保證性憑證式驗證方法,例如 JWT 承載者流程或外部用戶端應用程式 (ECA)。
未設定安全性風險
這些流程通常依賴作為「共用密碼」的靜態「用戶端識別碼」和「用戶端密碼」(有時使用者密碼),如果在指令碼中硬式編碼或在組態檔中公開,便可輕鬆入侵。
威脅情況
攻擊者在公開的 GitHub 儲存庫或內部文件中發現硬式編碼的「用戶端密碼」,並使用此密碼以程式設計方式驗證為高權限服務帳戶,以取得組織的完整 API 存取權。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
使用不安全的認證會導致持續且非互動式的帳戶接管,允許對手篩選大量資料或修改系統組態,而不會觸發傳統的 MFA 挑戰。
風險愈高時機
如果「用戶端認證」流程與指派給「系統管理員」設定檔的使用者或具有「修改所有資料」權限的設定檔相關聯。
低度風險時機
如果公司已為整合使用者實作嚴格的「登入 IP 範圍」,並使用「即時 API 要求監視」來偵測異常的大量流量。
業務與整合考量事項
停用這些流程需要移轉現有的中介軟體 (例如 MuleSoft、Boomi 或自訂 Python 指令檔) 以使用以憑證為基礎的 JWT 流程,這涉及管理 X.509 憑證和更新用戶端邏輯。
建議的補救措施
前往「連線的應用程式 OAuth 設定」,取消選取「啟用用戶端認證流程」方塊,然後轉換整合以將 JWT 承載者流程與數位憑證搭配使用。
安全性健康檢閱指南
Security Health Review 將移除舊版以密碼為基礎的認證流程識別為現代化身分安全性和移至所有系統對系統整合的 Zero Trust 結構的重要步驟。
