Help us learn about your current experience with the documentation. Take the survey.
Duffel API 令牌机密秘密或令牌泄露
描述
检测到响应体中包含与 Duffel API 令牌模式匹配的内容。Duffel API 令牌根据创建方式可以是读写或只读权限。拥有读写权限的恶意行为者可以执行订单、预订航班或酒店,或查看或修改客户列表。只读令牌可以查看客户列表、列出预订和航班信息。 泄露此值可能允许攻击者访问此令牌授予的所有资源。
修复
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 关于 凭据泄露到互联网 的文档。
重新生成令牌的步骤:
- 打开并登录 https://app.duffel.com/
- 在页面顶部选择"开发者"下拉列表,然后选择"Developers"
- 在左侧菜单中选择"Access tokens"
- 选择被检测到的访问令牌
- 记录令牌类型(“Read and Write” 或 “Read Only”)
- 在"危险区域"选择"Delete token"
- 使用与被检测令牌相同的设置重新创建新令牌
更多信息请参阅他们的文档:https://duffel.com/docs/guides/getting-started-with-the-dashboard#access-tokens
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.34 | false | 798 | 被动 | 高 |