Help us learn about your current experience with the documentation. Take the survey.
暴露机密 Slack 机器人用户 OAuth 令牌
描述
检测到响应体中包含与 Slack 机器人用户 OAuth 令牌模式匹配的内容。Slack 应用的功能和权限由其请求的 scope(范围)控制。完整的权限列表可在 Slack 的 scope 文档 中找到。拥有此令牌的恶意行为者可以执行分配给该令牌的功能。
暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复措施
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
要撤销 Slack 机器人用户 OAuth 令牌(注意:这需要所有用户重新授权您的应用):
- 登录 Slack 并访问 https://api.slack.com/apps
- 找到包含已识别令牌的应用并选择其名称
- 在左侧菜单中,选择 “OAuth & Permissions”
- 向下滚动到 “Revoke All OAuth Tokens” 并选择 “Revoke tokens”
- 在提示时,在 “Are you sure?” 对话框中选择 “Yes, I’m sure”
- 等待一段时间后,向上滚动到 “OAuth Tokens” 部分,选择 “Reinstall to XXX”,其中 XXX 是您的工作区名称
更多信息,请参阅 Slack 关于 OAuth 的文档
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.109 | false | 798 | Passive | High |