您在此处:
API(启用 OAuth 设置):需要 Web 服务器流的密码
此控制要求客户端应用程序在将授权代码交换为访问令牌期间提供其加密能力强的客户端密码,以验证客户端的身份。
控件名称
连接的应用程序:API(启用 OAuth 设置):需要 Web 服务器流的密码
推荐配置
需要 Web 服务器流的密码。
控制概览
此控制要求客户端应用程序在将授权代码交换为访问令牌期间提供其加密能力强的客户端密码,以验证客户端的身份。
安全风险(如果未配置)
Web 服务器流(授权代码授予)可能允许拦截临时授权代码的攻击者成功将其交换为长期有效的访问令牌,而无需证明他们控制了授权的后端服务器。
威胁场景
对手通过浏览器重定向或日志泄露拦截授权代码,并立即从自己的基础设施执行令牌交换,成功冒充合法应用程序,以获取对用户数据的访问权限。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
不要求密码便于未经授权的会话建立和数据泄露,有效地将临时的一次性代码转化为帐户接管的持久网关。
高风险
当应用程序托管在共享服务器上或使用增加恶意本地应用程序或网络代理拦截授权代码可能性的自定义 URI 方案时。
低风险
如果公司已经实施了 PKCE(代码交换验证密钥)作为补偿控制,这将在代码交换过程中添加一个二级动态验证层。
业务和集成注意事项
如果第三方客户端被错误地配置为绕过密码交换,或者如果客户端代码没有对密码的安全访问,启用这一要求可能会破坏现有的集成。
建议的补救措施
转到“设置”中的连接的应用程序 OAuth 设置,并选中“需要 Web 服务器流的密码”复选框。
安全健康审查指导
安全运行状况审查将此确定为基本的“机密客户端”要求,以便仅向可以保护其凭据的经过验证的服务器端应用程序发布敏感的 CRM 数据。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
