您位於此處:
API (啟用 OAuth 設定):需要重新整理權杖流程的密碼
此控制項會要求機密用戶端應用程式在交換重新整理權杖來驗證新存取權杖時,必須提供用戶端密碼。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):需要重新整理權杖流程的密碼
建議組態
重新整理權杖流程需要密碼。
控制概觀
此控制項會要求機密用戶端應用程式在交換重新整理權杖來驗證新存取權杖時,必須提供用戶端密碼。
未設定安全性風險
竊取重新整理權杖的攻擊者可以無限期地取得新的存取權杖,而不需要應用程式的私人認證,有效地略過重要驗證因素。
威脅情況
攻擊者從入侵的行動裝置或記錄檔案中提取重新整理權杖,並從個別且未經授權的伺服器中使用此權杖,以維持使用者 Salesforce 資料的永久「無周邊」存取權。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
若未要求機密,則會在環境中啟用長期且未偵測到的持續性,大幅延長資料缺口的持續時間超出初始工作階段的壽命。
風險愈高時機
當重新整理權杖沒有到期日期,或當連線應用程式與可存取敏感 PII 或系統中繼資料的高權限整合使用者相關聯時。
低度風險時機
如果已啟用「重新整理權杖輪換」,因為這會確保在第一次未經授權使用後,任何竊取的重新整理權杖都會立即失效。
業務與整合考量事項
強制執行此需求可能會中斷舊版整合或未設計為在背景重新整理流程期間儲存或傳輸用戶端密碼的行動應用程式。
建議的補救措施
前往連線應用程式的 OAuth 設定,然後選取「需要重新整理權杖流程的密碼」核取方塊。
安全性健康檢閱指南
「安全性健康審查」將此控制項識別為對工作階段持續性的重要防禦措施,因此單獨遭竊的權杖不足以維持組織的永久後端。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
