Usted está aquí:
Seguridad: Requerir clave de prueba para intercambio de códigos (PKCE)
Esta configuración de seguridad impone un apretón de manos criptográfico en todos los OAuth 2 compatibles.
Nombre de control
Aplicaciones cliente externas: Seguridad: Requerir clave de prueba para intercambio de códigos (PKCE)
Configuración recomendada
Requerir clave de prueba para intercambio de códigos (PKCE) para flujos de autorización admitidos.
Descripción general de control
Esta configuración de seguridad impone un apretón de manos criptográfico en todos los tipos de otorgamiento de OAuth 2.0 compatibles donde el cliente envía un reto de código hash durante la solicitud inicial y un verificador de código de texto sin formato durante el intercambio de tokens para vincular la solicitud a la instancia de cliente específica.
Riesgo de seguridad si no está configurado
Sin la aplicación de PKCE en todos los flujos compatibles, un código de autorización interceptado o credencial intermedia puede intercambiarse correctamente por un token de acceso por un actor malicioso porque el servidor de autorización carece de un mecanismo técnico para verificar la identidad del llamante original.
Escenarios de amenazas
Un atacante captura un código de autorización válido o una credencial interceptable desde un inicio de sesión correcto (a través del historial del navegador, registros del sistema o interceptación de esquemas de URI personalizados) y obtiene de forma programática un token de sesión válido antes de que el cliente legítimo pueda completar el apretón de manos.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
El fallo en la aplicación de PKCE en todos los flujos aplicables permite el secuestro generalizado de sesiones y el acceso a datos no autorizado, dirigiéndose específicamente a integraciones donde un secreto de cliente estático no se utiliza o se ha comprometido.
Riesgo más alto cuando
El riesgo es mayor para clientes públicos, como aplicaciones móviles nativas y aplicaciones web de una sola página (SPA), ya que estas plataformas no pueden almacenar de forma segura un secreto de cliente y operan con frecuencia en entornos donde el redireccionamiento de tráfico es observable.
Bajo riesgo cuando
El escenario es de menor riesgo si la organización utiliza exclusivamente clientes confidenciales en servidores back-end seguros que ya aplican un secreto de cliente obligatorio y operan dentro de un perímetro de red estrictamente aislado.
Consideraciones comerciales y de integración
La activación de este requisito en todos los flujos compatibles requiere que todas las aplicaciones cliente integradas admitan el método de transformación S256 y gestionen cadenas de alta entropía exclusivas para cada transacción.
Remediación recomendada
Vaya a Configuración de OAuth de la aplicación cliente externa y seleccione la casilla de verificación Requerir clave de prueba para intercambio de códigos (PKCE) para todos los flujos de autorización compatibles.
Directrices de revisión del estado de seguridad
Security Health Review identifica PKCE como un estándar arquitectónico obligatorio para todos los flujos de identidad y autorización modernos, de modo que cada intercambio de tokens está vinculado criptográficamente a la instancia de cliente específica para evitar la inyección e interceptación de credenciales.
