Secret information transmitted over the network

在网络上传输的机密信息

Risk: potentially

描述

检测到应用程序在网络上传输机密凭据，例如 SSH 密钥、私有证书或私有 API 密钥。

机密信息可以分为具有不同风险特征的两类：

• 超额计费：影响授予对 Google Maps 等服务访问权限并按请求数量计费的 API 密钥。攻击者将收集这些密钥以免费访问服务，而目标则为该服务付费。

• 未经授权的访问：影响授予对 S3 存储桶等服务访问权限的密钥、机密信息和令牌。如果服务配置不当，攻击者可以获取对未经授权数据的访问权限或通过其他服务提升其权限。

建议

为了缓解与硬编码或泄露的机密信息相关的风险，请考虑以下措施：

• 采用标记化或身份验证机制： 考虑实施 OAuth 或 JWT（JSON Web Tokens）等标记化或身份验证机制来访问 API，而不是传输原始凭据。这降低了在传输过程中暴露敏感凭据的风险。
• 实施安全传输协议： 确保传输敏感凭据的所有通信均使用 TLS（Transport Layer Security）等安全协议进行加密，以防止在传输过程中窃听和拦截凭据。
• 定期轮换凭据： 实施凭据轮换策略，定期轮换 API 密钥、令牌和其他敏感凭据。这最大限度地减少了在传输过程中拦截了凭据的攻击者可利用的时间窗口。

链接

• CWE-200: Data Exposure
• What Is AWS Secrets Manager?

标准

• PCI_STANDARDS:
  • REQ_1_2
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213