Help us learn about your current experience with the documentation. Take the survey.
暴露机密的 Shippo API 令牌
描述
检测到响应体中包含与真实 Shippo API 令牌匹配的内容。API 令牌可用于访问用于运输服务的 Shippo API。拥有此令牌的恶意行为者可以访问账单和订单信息,并修改运输数据。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
撤销 API 令牌的步骤:
- 登录您的 Shippo 账户并访问 https://apps.goshippo.com/
- 在右上角,选择"齿轮"图标进入"设置"页面
- 在左侧菜单中向下滚动到"高级"并选择"API"
- 在"令牌"部分下,选择"管理您的令牌"
- 找到已识别的令牌并选择垃圾桶图标
- 在提示时,在"管理您的令牌"对话框中选择"是的,删除令牌"
更多信息,请参阅 Shippo 关于 API 密钥的文档。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.104 | false | 798 | 被动 | 高 |