Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 Slack 应用级别令牌
Description
响应体中包含与 Slack 应用级别令牌模式匹配的内容。应用级别令牌用于 Slack 应用,但仅适用于特定的 API,这些 API 与应用在所有安装该应用的组织中相关联。
可以分配三个权限级别:
connections:write:通过 WebSocket 路由您的应用的交互和事件负载authorizations:read:查看您的应用在已安装团队上的授权信息app_configurations:write:配置您的应用程序
拥有此令牌访问权限的恶意行为者将被授予上述一个或多个权限,以访问特定应用程序的 API。
暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 文档 凭据暴露到互联网。
要撤销 Slack 应用级别令牌:
- 登录 Slack 并访问 https://api.slack.com/apps
- 找到包含已识别令牌的应用程序并选择其名称
- 在左侧菜单中,选择"基本信息"
- 向下滚动到"应用级别令牌"部分,选择已识别令牌的令牌名称
- 在令牌对话框中,选择"撤销"
- 当提示时,在"您确定吗?“对话框中选择"是的,我确定”
Details
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.172 | false | 798 | 被动 | 高 |