Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 HashiCorp Terraform API 令牌
Description
响应体中包含与 HashiCorp Terraform API 令牌模式匹配的内容。API 令牌可用于访问 HCP Terraform API。拥有此令牌的恶意行为者可以执行用户账户有权执行的所有操作。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 文档 凭据暴露到互联网。
撤销 API 令牌:
- 登录 Terraform HCP 控制台并访问 https://app.terraform.io/app/settings/tokens
- 找到被识别的令牌
- 选择令牌右侧的垃圾桶图标
- 当提示时,在"删除令牌…“对话框中选择"确认”
更多信息,请参阅 Terraform 关于 API 令牌的文档。
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.58 | false | 798 | Passive | High |