Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或 Beamer API token
描述
检测到响应体中包含与 Beamer API token 匹配的内容。Beamer API token 可用于读取、写入和删除帖子以及"想法",还可以查看 NPS 分析报告。该服务通过电子邮件或其他方式通知用户软件变更。拥有此 token 的恶意行为者可以调用 API 端点,创建或删除帖子和想法,或查看报告。暴露此值可能允许攻击者访问此 token 授予的所有资源。
修复建议
有关处理密钥泄露安全事件的一般指导,请参阅 GitLab 文档中的 凭据暴露到互联网。要删除您的 Beamer API token:
- 在以下地址登录您的 Beamer 账户:https://app.getbeamer.com/auth/login
- 在左下角选择齿轮图标(“设置”),然后在左侧菜单中选择"API",或访问 https://app.getbeamer.com/settings#api
- 找到被检测到的密钥,然后选择铅笔图标"编辑"
- 记录所有权限及其设置
- 选择"删除密钥"
- 选择"创建新的 API 密钥"
- 应用与被检测到的密钥相同的设置
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.17 | false | 798 | Passive | High |