Ti trovi qui:
API (Abilita impostazioni OAuth): Richiesta di segreto per il controllo dei flussi del server Web
Questo controllo richiede che l'applicazione client fornisca il suo segreto client con elevata crittografia durante lo scambio di un codice di autorizzazione con un token di accesso per verificare l'identità del client.
Nome controllo
Applicazioni connesse: API (Abilita impostazioni OAuth): Richiede segreto per il flusso del server Web
Configurazione consigliata
Richiede segreto per il flusso server Web.
Panoramica sul controllo
Questo controllo richiede che l'applicazione client fornisca il suo segreto client con elevata crittografia durante lo scambio di un codice di autorizzazione con un token di accesso per verificare l'identità del client.
Rischio per la sicurezza se non configurato
Il flusso del server Web (Concessione codice di autorizzazione) può consentire a un aggressore che intercetta un codice di autorizzazione temporaneo di scambiarlo con un token di accesso di lunga durata senza dimostrare di controllare il server di backend autorizzato.
Scenari di minaccia
Un avversario intercetta un codice di autorizzazione tramite un reindirizzamento del browser o una fuga di registro ed esegue immediatamente uno scambio di token dalla propria infrastruttura, impersonando correttamente l'applicazione legittima per ottenere l'accesso ai dati dell'utente.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
L'impossibilità di richiedere un segreto facilita la creazione di sessioni non autorizzate e l'esfiltrazione dei dati, trasformando efficacemente un codice temporaneo singolo in un gateway permanente per l'acquisizione di account.
Rischio maggiore quando
Quando l'applicazione è ospitata su un server condiviso o utilizza uno schema URI personalizzato che aumenta la probabilità di intercettazione del codice di autorizzazione da parte di app locali o proxy di rete dannosi.
Basso rischio quando
Se l'azienda ha implementato PKCE (Proof Key for Code Exchange) come controllo compensativo, che aggiunge un livello dinamico secondario di verifica al processo di scambio di codice.
Considerazioni su Business e integrazione
L'abilitazione di questo requisito può interrompere le integrazioni esistenti se il client di terze parti non è stato configurato correttamente per ignorare lo scambio di segreti o se il codice lato client non dispone di un accesso sicuro al segreto.
Rimedio consigliato
Accedere alle impostazioni OAuth dell'applicazione connessa in Imposta e selezionare la casella di controllo "Richiedi segreto per il flusso del server Web".
Guida all'esame dello stato della sicurezza
Security Health Review lo identifica come un requisito fondamentale "Client riservato" in modo che i dati CRM sensibili vengano rilasciati solo alle applicazioni verificate lato server che possono proteggere le proprie credenziali.
