Help us learn about your current experience with the documentation. Take the survey.
暴露保密的密钥或令牌 Mailgun webhook 签名密钥
Description
响应体中包含与 Mailgun webhook 签名密钥模式匹配的内容。此密钥用于 Mailgun 对所有传入的 webhook 消息负载进行签名。拥有此密钥的恶意行为者可以伪造 webhook 事件签名,并将其发送到您的服务以通过验证并处理。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理泄露密钥相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
要轮换您的 HTTP webhook 签名密钥:
- 登录您的 Mailgun 账户并访问 https://app.mailgun.com/ 上的仪表板
- 在右上角,选择您的账户配置文件并选择 “API 安全”
- 在 “HTTP webhook 签名密钥” 部分,选择右侧的旋转箭头图标
- 当提示时,在 “重置 HTTP webhook 签名密钥” 对话框中选择 “重置密钥”
更多信息,请参阅 Mailgun 关于 webhooks 的文档。
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.75 | false | 798 | Passive | High |