Help us learn about your current experience with the documentation. Take the survey.
暴露 HubSpot 私有应用 API token 或机密密钥
Description
响应体中包含的内容被识别为符合 HubSpot 私有应用 API token 的模式。私有应用允许您使用 HubSpot 的 API 来访问您 HubSpot 账户中的特定数据,并且可以通过设置特定的 scope 来限制访问权限。拥有此 token 的恶意行为者可以调用与应用程序 scope 中设置的同等级别的 API 端点。这可能从仅读取营销活动到访问用户和账户信息以及发送邮件不等。暴露此值可能允许攻击者访问此 token 授权的所有资源。
Remediation
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
要轮换私有应用 API token:
- 在 https://app.hubspot.com/ 登录您的 HubSpot 账户
- 在左侧菜单中,将鼠标悬停在数据库图标上,然后选择 “Integrations”
- 找到具有已识别 token 的私有应用,然后选择其名称
- 在页面顶部选择 “Auth” 标签页
- 在页面的 “Access token” 部分,选择 “Rotate”
- 当提示时,选择 “Rotate and expire this token now”
- 在 “Rotate access token now?” 对话框中选择 “Rotate now”
更多信息,请参阅 HubSpot 关于私有应用的文档
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.60 | false | 798 | Passive | High |