기밀 시크릿 또는 토큰 노출 Slack 웹훅

기밀 시크릿 또는 토큰 노출 Slack 웹훅에 대해 설명합니다.

설명 # 응답 본문에 Slack 웹훅 URL 패턴과 일치하는 콘텐츠가 감지되었습니다. Slack 웹훅 URL은 외부 소스에서 Slack으로 메시지를 게시하는 데 사용됩니다. 메시지와 몇 가지 다른 선택적 세부 정보가 포함된 JSON 페이로드와 함께 HTTP 요청을 사용합니다. 풍부한 형식의 메시지를 표시하기 위한 메시지 첨부 파일을 포함할 수 있습니다. 이 URL에 액세스한 악의적인 행위자는 해당 URL이 연결된 Slack 채널에 메시지를 게시할 수 있습니다. 이 값이 노출되면 공격자가 이 토큰에 부여된 모든 리소스에 액세스할 수 있습니다. 조치 # 유출된 키와 관련된 보안 사고 처리에 대한 일반적인 안내는 인터넷에 자격 증명 노출 에 대한 GitLab 설명서를 참조하세요. Slack 웹훅 URL을 교체하려면: Slack에 로그인하고 https://api.slack.com/apps 에 액세스합니다. 식별된 웹훅 URL이 있는 애플리케이션을 찾아 이름을 선택합니다. 왼쪽 메뉴에서 "Incoming Webhooks"를 선택합니다. "Webhook URL" 테이블에서 식별된 웹훅 URL 옆의 휴지통 아이콘을 선택합니다. 메시지가 표시되면 확인 대화 상자에서 "Remove"를 선택합니다. 자세한 내용은 웹훅에 대한 Slack 설명서 를 참조하세요. 세부 정보 # ID Aggregated CWE Type Risk 798.110 false 798 Passive High 링크 # CWE