Help us learn about your current experience with the documentation. Take the survey.
机密密钥或令牌暴露:GitHub OAuth 访问令牌
Description
检测到响应体中包含符合 GitHub OAuth 访问令牌模式的内容。与传统 OAuth 令牌不同,用户访问令牌不使用范围(scopes),而是采用细粒度权限。用户访问令牌仅拥有用户和应用程序共同具备的权限。如果恶意行为者获取了该令牌,且应用程序被授予了写入仓库内容的权限,但用户只能读取内容,那么该用户访问令牌也只能读取内容。暴露此值可能允许攻击者访问该令牌所授予的所有资源。
Remediation
关于处理与泄露密钥相关的安全事件的一般指导,请参阅 GitLab 文档中的 凭据暴露到互联网。更多信息,请参阅 GitHub 撤销 OAuth 访问令牌的文档。另请注意,GitHub Apps 优于 OAuth 应用,详情请参阅 GitHub 文档。
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.53 | false | 798 | Passive | High |