机密密钥或令牌 GCP OAuth 客户端密钥泄露

Description

响应体中包含与 GCP OAuth 客户端密钥模式匹配的内容。客户端密钥用于允许用户登录您的应用程序。根据请求的范围，拥有该密钥的恶意行为者可以冒充服务以访问用户信息。暴露此值可能允许攻击者访问此令牌授予的所有资源。

Remediation

有关处理泄露密钥相关安全事件的通用指南，请参阅 GitLab 关于 凭据暴露到互联网 的文档。

要撤销 OAuth 客户端密钥：

• 登录您的 GCP 账户并前往 https://console.cloud.google.com/apis/credentials
• 在“OAuth 2.0 Client IDs”表的“Name”列下，选择已识别密钥的客户端名称
• 在“Client secrets”部分，您必须先添加一个新密钥，选择“Add Secret”
• 对于已识别的密钥，选择“Disable”
• 当提示时，在“Disable this secret?”对话框中选择“Disable”
• 您现在可以选择垃圾桶图标来删除禁用的密钥

如需更多信息，请参阅 Google 关于设置 OAuth 2.0 的身份验证文档

Details

Links

• CWE