기밀 시크릿 또는 토큰 노출 - npm 액세스 토큰

응답 본문에 npm 액세스 토큰 패턴과 일치하는 콘텐츠가 포함된 경우 공격자가 해당 토큰으로 부여된 모든 리소스에 접근할 수 있습니다.

설명 # 응답 본문에 npm 액세스 토큰 패턴과 일치하는 콘텐츠가 포함되어 있습니다. 액세스 토큰은 클래식 또는 세분화된 방식이 될 수 있으며, 두 방식 모두 권한 사용자 정의를 허용합니다. 권한에 따라 이 토큰에 접근할 수 있는 악의적인 행위자는 패키지 및 패키지 정보를 읽거나, 새 패키지를 생성하고 토큰을 생성한 계정 아래에 게시할 수 있습니다. 이 값이 노출되면 공격자가 해당 토큰으로 부여된 모든 리소스에 접근할 수 있습니다. 해결 방법 # 유출된 키와 관련된 보안 사고 처리에 대한 일반적인 지침은 인터넷에 자격 증명 노출 에 관한 GitLab 문서를 참고하세요. UI에서 액세스 토큰을 취소하려면: https://www.npmjs.com/login 에서 npm 계정에 로그인합니다. 오른쪽 상단에서 프로필 사진을 선택한 다음 "Access Tokens"를 선택합니다. 식별된 토큰을 찾아 "Delete" 열에서 "x"를 선택합니다. 확인 메시지가 표시되면 대화 상자에서 "OK"를 선택합니다. 자세한 내용은 npm의 액세스 토큰 취소 문서 를 참고하세요. 세부 정보 # ID 집계 CWE 유형 위험도 798.84 false 798 Passive High 링크 # CWE