Help us learn about your current experience with the documentation. Take the survey.
机密密钥或令牌 Asana 客户端 ID 的泄露
描述
检测到响应体中包含与 Asana 客户端 ID 匹配的内容。此 ID 与客户端密钥配合使用。恶意行为者如果拥有此 ID 的访问权限,并且同时拥有客户端密钥的访问权限,就可以冒充客户端应用程序。暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复建议
Asana 客户端 ID 无法轮换,只能创建新的 OAuth 客户端应用程序来获取新的客户端 ID。更多信息请参阅他们的 OAuth 配置文档
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.9 | 否 | 798 | 被动 | 高 |