Usted estĆ” aquĆ:
ConfiguraciĆ³n de aplicaciĆ³n cliente externa: Enmascaramiento secreto de API de REST
Esta configuraciĆ³n de seguridad bloquea la capacidad de consultar o recuperar secretos de consumidor de OAuth de texto sin formato confidencial a travĆ©s de llamadas de API de REST programĆ”ticas.
Nombre de control
ConfiguraciĆ³n de aplicaciĆ³n cliente externa: Enmascaramiento secreto de API de REST
ConfiguraciĆ³n recomendada
Permita el acceso a secretos de consumidor de la aplicaciĆ³n cliente externa a travĆ©s de la API de REST: desactivada.
DescripciĆ³n general de control
Esta configuraciĆ³n de seguridad bloquea la capacidad de consultar o recuperar secretos de consumidor de OAuth de texto sin formato confidencial a travĆ©s de llamadas de API de REST programĆ”ticas.
Riesgo de seguridad si no estĆ” configurado
Cuando este acceso estĆ” activado, cualquier usuario o aplicaciĆ³n autenticado con suficientes permisos de API puede extraer de forma programĆ”tica estas credenciales de alto valor, lo que lleva a la posible exposiciĆ³n masiva de secretos de autenticaciĆ³n.
Escenarios de amenazas
Un atacante compromete una cuenta de usuario con permisos administrativos o de desarrollador y ejecuta una secuencia de comandos para recopilar todos los secretos de consumidor a travƩs de la API de REST para obtener acceso persistente y no autorizado a sistemas integrados.
Consideraciones sobre el impacto del riesgo
La exposiciĆ³n de estos secretos permite a un actor no autorizado omitir protocolos de inicio de sesiĆ³n estĆ”ndar y suplantar una aplicaciĆ³n externa de confianza, lo que lleva a un compromiso completo de los datos compartidos entre sistemas.
Riesgo mƔs alto cuando
Su organizaciĆ³n utiliza muchas herramientas de integraciĆ³n externas que tienen acceso amplio a la API de REST, ya que una Ćŗnica integraciĆ³n comprometida podrĆa llevar al robo de todos los demĆ”s secretos de aplicaciĆ³n.
Bajo riesgo cuando
Si implementĆ³ estrictas restricciones de direcciĆ³n IP para todo el acceso de API y utiliza tokens de sesiĆ³n de corta duraciĆ³n que limitan la ventana de oportunidad para que un atacante ejecute secuencias de comandos de extracciĆ³n.
Consideraciones comerciales y de integraciĆ³n
La desactivaciĆ³n de este acceso evita que las herramientas administrativas personalizadas o las secuencias de comandos de supervisiĆ³n automatizadas verifiquen o auditen de forma programĆ”tica los secretos de consumidor utilizados por sus aplicaciones externas.
RemediaciĆ³n recomendada
Vaya a la configuraciĆ³n de Aplicaciones cliente externas en ConfiguraciĆ³n y asegĆŗrese de que el conmutador para permitir el acceso a secretos de consumidor a travĆ©s de la API de REST estĆ” desactivado.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica la restricciĆ³n del acceso secreto a travĆ©s de la API de REST como un estĆ”ndar arquitectĆ³nico obligatorio para asegurarse de que las credenciales confidenciales permanecen cifradas y accesibles solo a travĆ©s de la interfaz de usuario segura de Salesforce.
