您在此处:
配置 OAuth 策略:外部客户端应用程序的 OAuth 2.0 代码和凭据流策略
此安全设置定义了交互式授权代码交换和自动机器到机器客户端凭据流的特定操作参数和授权约束。
控件名称
外部客户端应用程序:配置 OAuth 策略:外部客户端应用程序的 OAuth 2.0 代码和凭据流策略
推荐配置
为外部客户端应用程序配置 OAuth 2.0 代码和凭据流策略。
控制概览
此安全设置定义了交互式授权代码交换和自动机器到机器客户端凭据流的特定操作参数和授权约束,以规范令牌的发布方式。
安全风险(如果未配置)
由于没有特定于流的策略,身份验证工件被盗和未经授权的会话获取的风险更高,因为系统缺乏防止拦截的代码或凭据被利用所需的精细屏障。
威胁场景
攻击者拦截了瞬时授权代码或静态客户端密码,并将其成功交换为高权限访问令牌,因为端点不强制实施辅助验证或严格的执行用户隔离。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不实施这些策略会助长被盗身份验证工件的武器化,潜在地允许未经授权的行为者保持对组织数据层的持久访问,而不会被标准身份监控检测到。
高风险
该集成使用广泛的数据权限,并缺少补充控制,例如代码交换证明密钥 (PKCE) 或基于源的网络限制。
低风险
如果公司要求将 JWT 不记名流与数字证书一起使用,并对所有传入令牌请求强制实施严格的 IP 地址筛选。
业务和集成注意事项
配置这些策略可确保第三方集成遵守企业安全标准,尽管这需要详细的应用程序架构清单,以确保选定的流与客户端的技术能力相匹配。
建议的补救措施
转到外部客户端应用程序的 OAuth 策略,并明确打开所需的流,同时为任何自动化进程分配专用的、具有最低特权的执行用户。
安全健康审查指导
安全健康审查根据集成用例将这些策略确定为强烈建议的策略,因为这些控制有助于确保后端自动化流程和交互式会话以受限的身份运行,以防止大规模数据滥用。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
