您位於此處:
API (啟用 OAuth 設定):啟用重新整理權杖輪替
此控制會在每次用來取得新存取權杖時,使每個重新整理權杖無效,並以新的權杖取代。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):啟用重新整理權杖輪替
建議組態
啟用「重新整理權杖輪換」。
控制概觀
此控制會在每次用來取得新存取權杖時,使每個重新整理權杖無效,並以新的權杖取代。
未設定安全性風險
若無輪換,重新整理權杖會是「靜態」且持久的,這表示如果其遭到竊取,則可以無限期地用於產生新工作階段,而不會讓攻擊者需要使用者的密碼或 MFA。
威脅情況
攻擊者會從使用者的本機裝置儲存空間或入侵的記錄檔案中篩選重新整理權杖,並在原始使用者登出後長時間使用此權杖來維持 Salesforce 組織的永久無訊息存取權。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
缺少輪換可讓「工作階段持續無限」,讓對手停留在未偵測到的環境中數月,並系統地洩漏資料。
風險愈高時機
公用用戶端 (行動應用程式和單一頁面應用程式) 將權杖儲存在較不安全的瀏覽器或裝置環境中,這些用戶端更容易受到惡意軟體竊取。
低度風險時機
當「重新整理權杖輪換」與 PKCE (Proof Key for Code Exchange) 和短存留時間存取權杖配對時,請確保任何竊取的權杖實際上為「單次使用」,且攻擊者無法以數學方式證明其為取得新權杖的原始要求者。
業務與整合考量事項
啟用輪換需要用戶端應用程式能夠在每次呼叫後更新其儲存的重新整理權杖,因為未儲存新權杖會導致應用程式在下一次同步化嘗試期間「遭到鎖定」。
建議的補救措施
前往連線的應用程式的 OAuth 設定,然後選取「啟用重新整理權杖輪換」的核取方塊。
安全性健康檢閱指南
Security Health Review 將「重新整理權杖輪換」識別為關鍵的「零 Trust」機制,其會透過將每個權杖設為一次性資產,大幅減少遭竊認證的「爆炸半徑」。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
