Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 Heroku API 密钥或应用程序授权令牌
描述
响应体中包含的内容符合 Heroku API 密钥或应用程序授权令牌的模式。API 密钥和授权令牌可用于代表用户或账户执行 API 调用。拥有这些令牌访问权限的恶意行为者可以访问 Heroku API 平台和所有已部署的应用程序。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复建议
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于凭据暴露到互联网的文档。
为已识别的用户重新生成 API 密钥:
- 登录您的账户并访问 https://dashboard.heroku.com/account
- 在 “API 密钥” 部分,选择 “重新生成 API 密钥”
- 当提示时,在 “重新生成 API 密钥” 对话框中选择 “重新生成 API 密钥”
为应用程序授权令牌重新生成:
- 登录您的账户并访问 https://dashboard.heroku.com/account/applications
- 在 “授权” 部分,找到包含已识别令牌的已注册授权
- 选择铅笔图标
- 选择 “重新生成令牌”
有关 API 密钥的更多信息,请参阅他们关于生成 API 密钥的常见问题解答。 Heroku 没有关于应用程序授权令牌的任何文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.59 | false | 798 | Passive | High |