Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌的 Slack webhook
Description
检测到响应体中包含与 Slack webhook URL 模式匹配的内容。Slack webhook URL 用于将外部来源的消息发布到 Slack。它们使用带有 JSON 负载的 HTTP 请求,其中包含消息和一些其他可选细节。您可以包含消息附件来显示格式丰富的消息。拥有此 URL 访问权限的恶意行为者可以向其绑定的 Slack 频道发布消息。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 文档 凭据暴露到互联网。
要轮换 Slack webhook URL:
- 登录 Slack 并访问 https://api.slack.com/apps
- 找到具有已识别 webhook URL 的应用程序并选择名称
- 在左侧菜单中,选择 “Incoming Webhooks”
- 在 “Webhook URL” 表格中,选择已识别的 webhook URL 旁边的垃圾桶图标。
- 当提示时,在确认对话框中选择 “Remove”
更多信息,请参阅 Slack 关于 webhooks 的文档。
Details
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.110 | false | 798 | Passive | High |