您位於此處:
針對連線的應用程式管理 OAuth 存取原則:重新整理權杖到期原則
此原則可確保重新整理權杖嚴格為「一次性使用」,這表示其會在用於要求新存取權杖時立即失效。
控制名稱
針對連線的應用程式管理 OAuth 存取原則:重新整理權杖到期原則
建議組態
重新整理權杖原則 - 立即到期重新整理權杖。
控制概觀
此原則可確保重新整理權杖嚴格為「一次性使用」,這表示其會在用於要求新存取權杖時立即失效。
未設定安全性風險
若沒有立即到期,重新整理權杖會在達到以時間為基礎的期限之前,對多個使用保持有效,進而讓攻擊者能夠在合法使用者重新整理工作階段後,再次使用竊取的權杖。
威脅情況
攻擊者會從網路記錄檔案或本機儲存空間攔截有效的重新整理權杖,並使用該權杖從不同的裝置產生多個存取權杖,直到原始權杖自然到期為止。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
無法立即使權杖到期,會允許「同時工作階段劫持」,合法使用者和攻擊者可以同時維持相同帳戶的啟用中獨立存取權。
風險愈高時機
適用於不使用 PKCE 的公用用戶端 (行動或瀏覽器應用程式),因為「重複使用」仍有效的重新整理權杖不需要次要加密證明。
低度風險時機
「重新整理權杖輪換」已啟用,因為輪換在技術上會強制執行舊權杖的立即到期,作為其標準「交換」邏輯的一部分。
業務與整合考量事項
實作立即到期需要用戶端應用程式擁有強大的錯誤處理和可靠的同步資料儲存,以確保在交換期間不會遺失新發出的權杖,這會導致立即使用者鎖定。
建議的補救措施
前往連線應用程式的 OAuth 原則,並將「重新整理權杖原則」設定為「立即到期重新整理權杖」。
安全性健康檢閱指南
「安全性健康審查」會將立即到期識別為重要「防重複」控制,以便任何入侵的權杖對對手擁有絕對最短的公用程式。
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
