您位於此處:
API (啟用 OAuth 設定):針對裝置流程啟用 - 已取消選取
此安全性設定可管理裝置授權流程的可用性,這可讓使用者在資源限制的裝置上授權連線的應用程式。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):針對裝置流程啟用 - 已取消選取
建議組態
針對「裝置流程 - 已取消選取」啟用。
控制概觀
此安全性設定可管理裝置授權流程的可用性,可讓使用者透過在個別的 Web 連線次要裝置上輸入短碼,在資源限制的裝置上授權連線的應用程式。
未設定安全性風險
針對整合啟用不安全的裝置登入流程會導致未經授權的裝置連結可略過標準瀏覽器型安全性控制項,進而協助進行完整帳戶工作階段接管。
威脅情況
攻擊者使用社交工程說服使用者將惡意的授權代碼輸入至合法的 Salesforce 驗證頁面,進而將使用者工作階段與資料的永久存取權授與攻擊者的惡意裝置。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
若無法限制此流程,則會在沒有強大的共同驗證保護的情況下產生長期存取和重新整理權杖,進而在組織環境內可能導致未偵測到的側邊移動。
風險愈高時機
當將廣泛範圍授與連線應用程式時,或當公司缺少即時監視以偵測來自不受信任地理位置的異常代碼輸入模式時。
低度風險時機
如果公司為所有驗證嘗試強制執行多因素驗證,並針對用於完成授權流程的次要裝置強制執行以 IP 為基礎的嚴格限制。
業務與整合考量事項
雖然此流程是針對輸入功能有限的硬體設計,例如智慧顯示器或指令行工具,但現代安全性標準偏好更安全的方法,例如使用 Proof Key 進行代碼交換的授權代碼流程。
建議的補救措施
前往連線的應用程式的 API (啟用 OAuth 設定) 區段,並確定取消選取「啟用裝置流程」核取方塊,以防止此特定授權方法。
安全性健康檢閱指南
「安全性健康審查」將裝置登入流程的限制識別為強烈建議的標準,以將公司攻擊面積降到最低,並防止次要裝置驗證用於工作階段劫持。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
