您在此处:
API(启用 OAuth 设置):为设备流启用 - 取消选择
此安全设置管理设备授权流的可用性,允许用户在资源受限的设备上授权连接的应用程序。
控件名称
连接的应用程序:API(启用 OAuth 设置):为设备流启用 - 取消选择
推荐配置
为设备流启用 - 取消选中。
控制概览
此安全设置管理设备授权流的可用性,允许用户通过在单独的 Web 连接的辅助设备上输入短代码来授权资源受限设备上的连接的应用程序。
安全风险(如果未配置)
为集成启用不安全的设备登录流会导致一个漏洞,未经授权的设备链接通过绕过基于浏览器的标准安全控制来为完全帐户会话接管提供便利。
威胁场景
攻击者利用社交工程诱使用户在合法的 Salesforce 验证页面中输入恶意授权代码,从而授予攻击者的流氓设备对用户会话和数据的持续访问权限。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
如果不限制此流,就可以生成长期有效的访问和刷新令牌,而无需强大的相互身份验证保护,这可能会导致组织环境中未检测到的横向移动。
高风险
当连接的应用程序被授予广泛的范围时,或者当公司缺乏实时监控来检测来自不可信地理位置的异常代码输入模式时。
低风险
如果公司要求对所有验证尝试进行多重身份验证,并对用于完成授权过程的辅助设备实施严格的基于 IP 的限制。
业务和集成注意事项
虽然此流专为输入能力有限的硬件设计,例如智能显示器或命令行工具,但现代安全标准更喜欢更安全的方法,例如带有代码交换证明密钥的授权代码流。
建议的补救措施
转到连接的应用程序的 API(启用 OAuth 设置)部分,并确保取消选中为设备流启用复选框,以防止此特定授权方法。
安全健康审查指导
安全健康审查将设备登录流的限制确定为强烈建议的标准,以最大限度地减少公司的攻击面,并防止利用辅助设备验证进行会话劫持。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
