Help us learn about your current experience with the documentation. Take the survey.
机密密钥或令牌 Twitch OAuth 客户端密钥泄露
Description
响应体中包含的内容被识别为符合 Twitch OAuth 客户端密钥的模式。OAuth 客户端密钥用于允许服务代表 Twitch 用户执行功能。拥有此客户端密钥的恶意行为者可以冒充该服务并代表其用户执行功能。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
要轮换 OAuth 客户端密钥:
- 登录您的 Twitch 账户并访问 https://dev.twitch.tv/console
- 找到使用已识别密钥的扩展程序
- 在 “扩展程序” 部分中,选择扩展程序名称旁边的 “管理”
- 在右上角,选择 “扩展程序设置”
- 在 “Twitch API 客户端配置” 部分,在 “Twitch API 客户端密钥” 下选择 “生成密钥”
- 当提示时,从对话框中选择 “OK”
有关更多信息,请参阅 Twitch 关于 OAuth 的开发者文档。
Details
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.118 | false | 798 | Passive | High |