您位於此處:
安全性:需要 Web 伺服器流程的密碼
此安全性設定會要求 Web 伺服器或應用程式必須向 Salesforce 提供唯一的用戶端密碼,才能完成存取權杖的授權代碼交換。
控制名稱
外部用戶端應用程式:安全性:需要 Web 伺服器流程的密碼
建議組態
需要 Web 伺服器流程的密碼。
控制概觀
此安全性設定會要求 Web 伺服器或應用程式必須向 Salesforce 提供唯一的用戶端密碼,才能完成存取權杖的授權代碼交換。
未設定安全性風險
若沒有必要的密碼,網頁伺服器流程只依賴授權代碼,此代碼可透過瀏覽器歷程記錄、查閱者標題或記錄檔案來攔截,之後再由未經授權的執行動作使用者交換工作階段。
威脅情況
攻擊者會從使用者的重新導向 URI 捕捉有效的授權代碼,並成功模擬應用程式來要求存取權杖,因為 Salesforce 端點不需要次要伺服器端驗證。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
允許無密碼 Web 伺服器流程可進行廣泛的工作階段劫持和未經授權的資料存取,因為在權杖交換期間,要求應用程式的身分絕不會經過密碼編譯或管理驗證。
風險愈高時機
如果應用程式在共用網域上主控,或使用未加密的重新導向 URI,請為攻擊者提供多個向量來觀察和竊取傳輸中的授權代碼。
低度風險時機
如果應用程式已針對每個交易強制執行 Proof Key for Code Exchange (PKCE),因為這會將授權代碼繫結至攻擊者不知道的高熱量驗證器。
業務與整合考量事項
啟用此需求可確保密碼在後端伺服器上保持受保護,但需要應用程式結構能夠安全地儲存和傳輸密碼,而不將其公開給用戶端瀏覽器。
建議的補救措施
移至「外部用戶端應用程式」的 OAuth 設定,然後選取核取方塊以要求 Web 伺服器流程的用戶端密碼。
安全性健康檢閱指南
「安全性健康審查」將用戶端流程的用戶端密碼強制性使用識別為基本的深度防護標準,因此無法在沒有次要私人認證的情況下將敏感授權代碼作為武器。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
