您位於此處:
安全性:需要重新整理權杖流程控制的密碼
此安全性設定會要求應用程式必須在重新整理權杖旁提供有效的用戶端密碼,才能從 Salesforce 授權伺服器取得新的已啟用存取權杖。
控制名稱
外部用戶端應用程式:安全性:重新整理權杖流程需要密碼
建議組態
需要「重新整理權杖流程」的密碼。
控制概觀
此安全性設定會要求應用程式必須在重新整理權杖旁提供有效的用戶端密碼,才能從 Salesforce 授權伺服器取得新的已啟用存取權杖。
未設定安全性風險
若沒有必要的密碼,則未經授權執行動作的使用者可以使用入侵的重新整理權杖產生一系列無限的有效工作階段,而不需要任何次要伺服器端驗證。
威脅情況
攻擊者從本機裝置或應用程式記錄中提取長期重新整理權杖,並成功透過程式設計方式從自己的基礎結構產生新的存取權杖,因為端點不會驗證應用程式的私人認證。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
允許無密碼重新整理週期可讓持續的未偵測資料洩漏和未經授權的帳戶存取權,即使使用者的初始登入工作階段已到期也是如此。
風險愈高時機
如果應用程式未實作「重新整理權杖輪換」(RTR) 或重新整理權杖具有無限期留存時間,請為攻擊者提供永久後門。
低度風險時機
如果公司為整合使用者強制執行嚴格的 IP 位址限制,並使用需要頻繁互動式重新驗證的短暫重新整理權杖。
業務與整合考量事項
啟用此需求可確保密碼在後端伺服器上保持保護,但可防止公用用戶端 (例如行動或單一頁面應用程式) 直接在沒有安全 Proxy 的情況下重新整理工作階段。
建議的補救措施
瀏覽至「外部用戶端應用程式」的 OAuth 設定,並選取核取方塊以要求重新整理權杖流程的用戶端密碼。
安全性健康檢閱指南
Security Health Review 將用戶端密碼強制用於重新整理作業識別為重要深度防禦標準,因此如果沒有對應的私人應用程式認證,便無法將竊取的承載者權杖進行武器化。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
