기밀 시크릿 또는 토큰 노출 Adobe 클라이언트 시크릿

기밀 시크릿 또는 토큰 노출 Adobe 클라이언트 시크릿에 대해 설명합니다.

설명 # 응답 본문에 Adobe 클라이언트 시크릿의 패턴과 일치하는 콘텐츠가 감지되었습니다. Adobe 클라이언트 시크릿은 다양한 API 또는 웹훅 이벤트 기반 서비스에 연결하는 데 사용됩니다. 프로젝트에 정의된 서비스 유형에 따라 시크릿에 접근할 수 있는 악의적인 행위자가 이를 사용하여 민감한 정보를 포함할 수 있는 다양한 API 또는 이벤트에 접근할 수 있습니다. 이 값을 노출하면 공격자가 이 토큰으로 부여된 모든 리소스에 접근할 수 있습니다. 수정 방법 # 유출된 키와 관련된 보안 인시던트 처리에 대한 일반적인 지침은 인터넷에 자격 증명 노출 에 대한 GitLab 문서를 참조하세요. 수정 단계는 유출된 클라이언트 시크릿의 유형에 따라 다릅니다. 아래 수정 단계 유형을 참조하고 감지된 시크릿에 해당하는 것을 사용하세요. OAuth (서버 간): https://developer.adobe.com/console 에서 계정에 로그인합니다 프로젝트를 선택하거나 "모든 프로젝트"를 선택하여 영향을 받는 프로젝트를 찾습니다. 왼쪽에서 "자격 증명" 아래의 "OAuth 서버 간"을 선택합니다 "클라이언트 시크릿"에서 "클라이언트 시크릿 검색"을 선택합니다 시크릿 테이블이 표시되면 테이블 아래에서 "새 클라이언트 시크릿 추가"를 선택합니다 새 시크릿이 생성된 후 유출된 토큰 값을 찾고 휴지통 아이콘을 선택하여 제거합니다 시크릿 값을 복사하고 새 클라이언트 시크릿으로 모든 서비스를 업데이트합니다 OAuth Web App (이벤트 기반 프로젝트): 프로젝트를 선택하거나 "모든 프로젝트"를 선택하여 영향을 받는 프로젝트를 찾습니다 왼쪽에서 "자격 증명" 아래의 "OAuth Web App"을 선택합니다. "클라이언트 시크릿 검색"을 선택합니다 이것이 유출된 시크릿인지 확인합니다 이 프로젝트가 이벤트로 구성된 경우 제거하기 전에 모든 이벤트 세부 정보를 복사합니다. 오른쪽에 나열된 이벤트를 찾아 선택하면 됩니다. 이벤트 전달 방법, 공급자, 구독된 이벤트 및 연결된 자격 증명 등의 세부 정보를 보여주는 대시보드로 이동해야 합니다. 이벤트를 제거하려면 프로젝트 페이지 오른쪽의 "다른 서비스 연결" 위에 있는 이벤트의 "..."를 선택합니다. "제거"를 선택합니다 메시지가 표시되면 프로젝트 이름을 입력하고 "이벤트 등록 삭제"를 선택합니다 오른쪽 상단 모서리에서 "자격 증명 삭제"를 선택합니다 메시지가 표시되면 프로젝트 이름을 입력하고 "자격 증명 삭제"를 선택합니다 이전과 동일한 세부 정보로 이벤트를 다시 추가합니다 자격 증명을 다시 추가하라는 메시지가 표시되면 "사용자 인증" OAuth를 사용해야 합니다 OAuth 2.0 인증 및 승인에는 "Web App"을 선택합니다 이벤트를 다시 추가한 후 왼쪽의 "자격 증명"에서 "OAuth Web App"을 선택합니다 "클라이언트 시크릿 검색"을 선택합니다 시크릿 값을 복사하고 새 클라이언트 시크릿으로 모든 서비스를 업데이트합니다 OAuth Web App (API 서비스 기반 프로젝트): https://develop