偵測到 Google API OAuth 憑證
high Web App Scanning Plugin ID 113124
語系:
概要
偵測到 Google API OAuth 憑證說明
Google API 支援 OAuth 2.0 通訊協定在不同部署情況下的驗證和授權。為了取得 Google API 的存取權,在某些情況下,用戶端應用程式必須使用諸如用戶端 ID 和用戶端密碼之類的憑證,對 Google 授權伺服器進行自我驗證,然後擷取有效的存取權杖。在 Web 伺服器應用程式的內容中,用來擷取權杖的 OAuth 2.0 密碼屬於敏感項目,如果與用戶端 ID 一起洩漏,可導致攻擊者能夠模擬此有弱點的應用程式,並對 Google API 執行任意要求。
解決方案
移除儲存 OAuth 2.0 用戶端 ID 和密碼的檔案,或至少設定適當的權限,並確保其內容經過加密,以確定不會洩漏用戶端 ID 和密碼。如果發現 OAuth 2.0 憑證洩漏,開發人員應透過 Google 開發人員主控台重設該憑證,以避免其遭未經授權的執行者重複使用。另請參閱
https://cloud.google.com/security/compromised-credentials
https://developers.google.com/identity/protocols/oauth2
https://www.oauth.com/oauth2-servers/client-registration/client-id-secret/
Plugin 詳細資訊
嚴重性: High
ID: 113124
類型: remote
系列: Data Exposure
已發布: 2022/2/1
已更新: 2022/2/1
掃描範本: api, basic, full, pci, scan
風險資訊
VPR
風險因素: Low
分數: 3.4
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: High
基本分數: 7.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
CVSS 評分資料來源: Tenable
參考資訊
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A1, 2021-A5
WASC: Application Misconfiguration, Predictable Resource Location
CAPEC: 95
DISA STIG: APSC-DV-002480
HIPAA: 164.312(a)(1), 164.312(a)(2)(i)
ISO: 27001-A.13.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.18.1.3, 27001-A.6.2.2, 27001-A.9.1.2, 27001-A.9.4.1, 27001-A.9.4.4, 27001-A.9.4.5
NIST: sp800_53-AC-3
OWASP API: 2019-API3, 2019-API7, 2023-API3, 2023-API8
PCI-DSS: 3.2-2.2