您位於此處:
安全性:啟用重新整理權杖輪換控制
此安全性設定會在用戶端使用此權杖來取得新的存取權杖時,使每個重新整理權杖無效,並以新的單一使用權杖取代。
控制名稱
外部用戶端應用程式:安全性:啟用重新整理權杖輪替
建議組態
啟用「重新整理權杖輪換」。
控制概觀
此安全性設定會在用戶端使用此權杖來取得新的存取權杖時,使每個重新整理權杖無效,並以新的單一使用權杖取代。
未設定安全性風險
若未輪換,則入侵的重新整理權杖會無限期或到期為止保持有效,讓攻擊者能夠維持環境的永久未經授權存取權,而無須重新驗證。
威脅情況
攻擊者從本機裝置或應用程式記錄中提取靜態重新整理權杖,並使用該權杖以程式設計的方式產生有效存取權杖的連續串流,有效地建立 Salesforce 例項的永久後端。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
實作輪替失敗可促進長期資料外洩和未偵測到的帳戶接管,因為即使合法使用者變更密碼或完成多因素驗證挑戰,攻擊者仍可保持登入。
風險愈高時機
公用用戶端 (例如行動或單一頁面應用程式) 將權杖儲存在較不安全的本機環境中,以及獲得廣泛管理權限的整合,其風險較高。
低度風險時機
如果公司針對所有重新整理權杖強制執行非常短的絕對留存時間,並使用嚴格的 IP 位址篩選,以確保僅從已知且信任的網路使用權杖。
業務與整合考量事項
啟用輪換需要用戶端應用程式能夠處理在每個交換中傳回的更新重新整理權杖,並成功保留新值,以避免同步化失敗。
建議的補救措施
移至「外部用戶端應用程式」的 OAuth 設定,然後選取核取方塊以開啟重新整理權杖輪替。
安全性健康檢閱指南
Security Health Review 將重新整理權杖輪換識別為工作階段管理的強制性深度防禦標準,讓竊取的承載者權杖其機會時段限制在單一交易。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
