暴露机密密钥或 Shippo 测试 API 令牌

Description

响应体中包含与 Shippo 测试 API 令牌模式匹配的内容。API 令牌可用于访问 Shippo API，该 API 用于运输服务。拥有此令牌的恶意行为者可以访问账单和订单信息，并修改运输数据。 暴露此值可能允许攻击者访问此令牌授予的所有资源。

Remediation

有关处理密钥泄露相关安全事件的通用指导，请参阅 GitLab 文档 凭据暴露到互联网。

要撤销 API 令牌：

• 登录您的 Shippo 账户并访问 https://apps.goshippo.com/
• 在右上角，选择"齿轮"图标进入"设置"页面
• 在左侧菜单中向下滚动到"高级"并选择"API"
• 在"令牌"部分，选择"管理您的令牌"
• 找到已识别的令牌并选择垃圾桶图标
• 当提示时，在"管理您的令牌"对话框中选择"是，删除令牌"

更多信息，请参阅 Shippo 的 API 密钥文档。

Details

Links

• CWE