Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 Segment 公共 API 令牌
描述
响应体中包含的内容被识别为符合 Segment 公共 API 令牌的模式。Segment 公共 API 用于管理您的 Segment 工作空间及其资源。有两种类型的令牌符合此模式:工作空间所有者令牌和有限角色令牌。通常,这些令牌允许 API 调用者执行读取、写入和删除操作。拥有工作空间所有者令牌的恶意行为者可以访问所有工作空间数据。有限角色令牌可以访问创建时被授予访问权限的数据。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复方法
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
轮换公共 API 令牌的步骤:
- 登录您的 Segment 账户,并从 https://app.segment.com/ 访问您的工作空间
- 从左侧菜单中选择"设置",然后进入"工作空间设置"
- 在"工作空间设置"页面中,选择"访问管理"选项卡
- 在"访问管理"下选择"令牌"选项卡
- 找到被识别的密钥,并选择它
- 在右侧,“令牌权限"部分中选择"编辑令牌”
- 在右上角选择"移除令牌"
- 当提示时,在对话框中选择"移除令牌"
有关更多信息,请参阅 Segment 关于其公共 API 的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.169 | false | 798 | Passive | High |