위치:
API(OAuth 설정 활성화): 장치 플로 활성화 - 선택 취소됨
이 보안 설정은 사용자가 리소스 제약 장치에서 연결된 응용 프로그램을 인가할 수 있는 장치 인가 플로의 가용성을 관리합니다.
제어 이름
연결된 앱: API(OAuth 설정 활성화): 장치 플로 활성화 - 선택 취소됨
권장 구성
장치 플로에 대해 활성화 - 선택 취소됨.
제어 개요
이 보안 설정은 사용자가 별도의 웹 연결 보조 장치에 짧은 코드를 입력하여 자원 제약 장치에서 연결된 응용 프로그램을 인가할 수 있는 장치 인가 플로의 가용성을 관리합니다.
구성되지 않은 경우 보안 위험
통합을 위해 안전하지 않은 장치 로그인 플로를 활성화하면 무단 장치 연결이 표준 브라우저 기반 보안 제어를 우회하여 전체 계정 세션 인계를 촉진하는 취약점이 발생합니다.
위협 시나리오
공격자는 소셜 엔지니어링을 사용하여 사용자에게 합법적인 Salesforce 확인 페이지에 악성 인가 코드를 입력하도록 유도하여 공격자의 악성 장치에 사용자의 세션 및 데이터에 대한 영구 액세스 권한을 부여합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
이 플로를 제한하지 못하면 강력한 상호 인증을 보호하지 않고 장기적인 액세스 및 새로 고침 토큰을 생성할 수 있으므로 잠재적으로 조직 환경 내에서 감지되지 않는 측면 이동이 발생할 수 있습니다.
위험이 높은 경우
연결된 응용 프로그램에 광범위한 범위가 부여되거나 회사에서 신뢰할 수 없는 지리적 위치에서 비정상적인 코드 입력 패턴을 감지하는 실시간 모니터링이 부족한 경우
낮은 위험 시기
회사에서 모든 확인 시도에 다단계 인증을 요구하고 인가 프로세스를 완료하는 데 사용되는 보조 장치에 엄격한 IP 기반 제한을 적용하는 경우
비즈니스 및 통합 고려 사항
이 플로는 스마트 디스플레이 또는 명령줄 도구와 같은 입력 기능이 제한된 하드웨어용으로 설계되었지만, 코드 교환을 위한 증거 키가 있는 인가 코드 플로와 같은 보다 안전한 메서드를 선호하는 현대 보안 표준입니다.
권장 수정
연결된 앱의 API(OAuth 설정 활성화) 섹션으로 이동하여 이 특정 권한 부여 방법을 방지하려면 장치 플로 활성화 확인란이 선택 취소되어 있는지 확인합니다.
보안 상태 검토 지침
보안 상태 검토는 회사의 공격 현황을 최소화하고 세션 하이재킹을 위해 보조 장치 확인을 이용하지 못하도록 방지하기 위해 장치 로그인 플로 제한을 적극 권장하는 표준으로 식별합니다.
