您在此处:
外部客户端应用程序设置:REST API 密码掩码
此安全设置阻止通过编程 REST API 调用查询或检索敏感的明文 OAuth 使用者密码。
控件名称
外部客户端应用程序设置:REST API 密码掩码
推荐配置
允许通过 REST API 访问外部客户端应用程序使用者密码 - 关闭。
控制概览
此安全设置阻止通过编程 REST API 调用查询或检索敏感的明文 OAuth 使用者密码。
安全风险(如果未配置)
启用此访问权限后,任何具有足够 API 权限的经过身份验证的用户或应用程序都可以编程方式提取这些高价值凭据,从而导致身份验证密码的潜在批量泄露。
威胁场景
攻击者盗用具有管理或开发人员权限的用户帐户,并运行脚本通过 REST API 获取所有使用者密码,以获取对集成系统的持久、未经授权的访问。
风险影响注意事项
这些密码的泄露允许未经授权的操作者绕过标准登录协议并冒充可信的外部应用程序,导致系统之间共享的数据完全泄露。
高风险
贵组织使用多个第三方集成工具,这些工具对 REST API 具有广泛的访问权限,因为单个妥协集成可能会导致所有其他应用程序密码被盗。
低风险
如果您已对所有 API 访问权限实施严格的 IP 地址限制,并使用限制攻击者运行提取脚本的机会窗口的短期会话令牌。
业务和集成注意事项
禁用此访问权限会阻止自定义管理工具或自动监控脚本以编程方式验证或审计外部应用程序使用的使用者密码。
建议的补救措施
转到“设置”中的外部客户端应用程序设置,并确保允许通过 REST API 访问使用者密码的切换设置为关闭。
安全健康审查指导
安全运行状况审查将通过 REST API 的秘密访问限制确定为强制性架构标准,以确保敏感凭据保持加密状态,并且只能通过安全的 Salesforce 用户界面访问。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
