Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 npm 访问令牌
Description
响应体中包含与 npm 访问令牌模式匹配的内容。访问令牌可以是经典令牌或细粒度令牌,两者都允许自定义权限。根据权限,拥有此令牌的恶意行为者可以读取包和包信息,或者创建新包并以创建它们的账户发布它们。暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露相关安全事件的一般指导,请参阅 GitLab 文档中的凭据暴露到互联网。
要从 UI 撤销访问令牌:
- 在 https://www.npmjs.com/login 登录您的 npm 账户
- 在右上角,选择您的个人资料图片,然后选择"访问令牌"
- 找到被识别的令牌,并在"删除"列中选择"x"
- 当提示时,在对话框中选择"确定"
有关更多信息,请参阅npm 关于撤销访问令牌的文档。
Details
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.84 | false | 798 | 被动 | 高 |