检测

检测到 Google API OAuth 凭据

high Web App Scanning 插件 ID 113124

语言:

简介

检测到 Google API OAuth 凭据

描述

Google API 支持将 OAuth 2.0 协议用于不同部署方案中的身份验证和授权。在某些情况下,为了获得对 Google API 的访问权限,客户端应用程序必须使用客户端 ID 和客户端密码等凭据,针对 Google 授权服务器进行自我身份验证,然后检索有效的访问标记。

在 Web 服务器应用程序的上下文中,用于检索标记的 OAuth 2.0 密码属于敏感信息,如果与客户端 ID 一起泄漏,则可导致攻击者冒充易受攻击的应用程序并对 Google API 执行任意请求。

解决方案

删除存储该文件的文件,或至少在该文件上设置适当的权限并确保其内容经过加密,以确保 OAuth 2.0 客户端 ID 和密码不会暴露。如果发现 OAuth 2.0 凭据泄露,开发人员就应通过 Google 开发人员控制台将其重置,避免被未经授权的攻击者重复使用。

另见

https://cloud.google.com/security/compromised-credentials

https://developers.google.com/identity/protocols/oauth2

https://www.oauth.com/oauth2-servers/client-registration/client-id-secret/

插件详情

严重性: High

ID: 113124

类型: remote

发布时间: 2022/2/1

最近更新时间: 2022/2/1

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: Tenable

CVSS v3

风险因素: High

基本分数: 7.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 分数来源: Tenable

CVSS v4

风险因素: High

Base Score: 8.7

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:L/SA:L

CVSS 分数来源: Tenable

参考资料信息