您位於此處:
設定 OAuth 原則:外部用戶端應用程式的 OAuth 2.0 代碼和認證流程原則
此安全性設定定義互動式授權代碼交換和自動機器對機器用戶端認證流程的特定作業參數和授權限制。
控制名稱
外部用戶端應用程式:設定 OAuth 原則:外部用戶端應用程式的 OAuth 2.0 代碼和認證流程原則
建議組態
設定外部用戶端應用程式的 OAuth 2.0 程式碼和認證流程原則。
控制概觀
此安全性設定定義互動式授權代碼交換和自動機器對機器用戶端認證流程的特定作業參數和授權限制,以規範權杖的核發方式。
未設定安全性風險
缺少流程特定原則會導致驗證成品遭竊和未經授權的工作階段取得的風險增加,因為系統缺少防止利用已截取代碼或認證所需的細微阻礙。
威脅情況
攻擊者會攔截暫時授權代碼或靜態用戶端密碼,並成功將其交換為高權限存取權杖,因為端點不會強制執行次要驗證或嚴格執行使用者隔離。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法實作這些原則會協助將竊取的驗證成品建成武器,進而可能允許未經授權的執行動作的使用者維持對組織資料層的永久存取權,而不會被標準身分監視偵測到。
風險愈高時機
此整合使用廣泛的資料權限,且缺乏補充控制項,例如 Proof Key for Code Exchange (PKCE) 或來源式網路限制。
低度風險時機
如果公司要求使用具有數位憑證的 JWT 承載者流程,並針對所有傳入權杖要求強制執行嚴格的 IP 位址篩選。
業務與整合考量事項
設定這些原則可確保第三方整合遵循公司安全性標準,但需要詳細的應用程式結構清單,以確保所選的流程符合用戶端的技術能力。
建議的補救措施
前往外部用戶端應用程式的 OAuth 原則,並明確開啟必要流程,同時為任何自動化程序指派專屬且最低權限的執行使用者。
安全性健康檢閱指南
「安全性健康審查」會根據整合使用個案將這些原則識別為強烈建議,因為這些控制項有助於確保後端自動程序和互動工作階段使用受限制的身分,以防止大規模的資料濫用。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
