Product-apim: تتدفق كلمة المرور بنص عادي أثناء تسجيل الدخول إلى APIM

تم إنشاؤها على ١١ مارس ٢٠٢٠  ·  7تعليقات  ·  مصدر: wso2/product-apim

وصف:


تتدفق كلمة المرور بنص عادي عند قيام المستخدم بتسجيل الدخول إلى كل الوحدات النمطية في APIM

خطوات التكاثر:

  1. تسجيل الدخول في https: // localhost : 9443 / publisher أثناء تشغيل وضع الفحص في المتصفح

بمجرد تسجيل الدخول ، يرجى التحقق من بيانات النموذج في علامة التبويب "رأس الصفحة" تظهر كلمة مرور في نص عادي

image

بينما وفقًا لـ OWASP A3-Sensitive Data Exposure ، لا يمكن أن تنتقل كلمة المرور بتنسيق نص عادي ويجب منعها باتباع

  1. قم بتشفير جميع البيانات أثناء النقل باستخدام بروتوكولات آمنة مثل TLS مع تشفير مثالي للأمام (PFS) ، وتحديد أولويات التشفير بواسطة الخادم ، والمعلمات الآمنة. فرض التشفير باستخدام توجيهات مثل HTTP Strict Transport Security (HSTS).
  2. تعطيل التخزين المؤقت للاستجابة التي تحتوي على بيانات حساسة.
  3. قم بتخزين كلمات المرور باستخدام وظائف تجزئة قوية التكيفية والمملحة مع عامل عمل (عامل تأخير) ، مثل Argon2 أو scrypt أو bcrypt أو PBKDF2.

يرجى النظر في الأمر والمساعدة لأن هذا هو الشاغل الرئيسي ويمكننا تضمين هذا في الإصدار النهائي من 3.1. وسوف أكون ممتنا للغاية .

إصدار المنتج المتأثر:


كافة إصدارات APIM

تفاصيل البيئة (مع الإصدارات):

  • نظام التشغيل: Window 10
PrioritNormal TypBug
مصدر
picture ashishpilania18

التعليق الأكثر فائدة

@ ashishpilania18 لا أرى مشكلة هنا. من المفترض أن تعرض علامة التبويب "شبكة المتصفح" قيم النص العادي للنموذج الذي ترسله. إذا كنت تستخدم نموذج https فسيتم تشفيره عند إرساله عبر السلك (عند الخروج من المتصفح).

picture praminda في ١١ مارس ٢٠٢٠
👍4 👎1

ال 7 كومينتر

@ ashishpilania18 لا أرى مشكلة هنا. من المفترض أن تعرض علامة التبويب "شبكة المتصفح" قيم النص العادي للنموذج الذي ترسله. إذا كنت تستخدم نموذج https فسيتم تشفيره عند إرساله عبر السلك (عند الخروج من المتصفح).

praminda picture praminda في ١١ مارس ٢٠٢٠
👍4 👎1

تضمين التغريدة
أنا مفهومة ولكن وفقًا لإرشادات الأمان من OWASP ، يجب تشفيرها قبل إرسالها عبر https في نهاية العميل ، لذلك في نهاية العميل أيضًا لا يمكن لأي شخص رؤية كلمة المرور.

ashishpilania18 picture ashishpilania18 في ١١ مارس ٢٠٢٠

لا يزال لدي مخاوف بشأن كيفية استغلال طرف ثالث لهذا. على أي حال ، نظرًا لأن هذه مشكلة متعلقة بالأمان ، يمكنك الإبلاغ عن هذه المشكلة وفقًا لسياسة أمان المشروع على https://github.com/wso2/product-apim/security/policy

praminda picture praminda في ١١ مارس ٢٠٢٠

تضمين التغريدة
على سبيل المثال ، قمت بوضع متشمم واحد في شبكتك وأثناء قيامك بتسجيل الدخول ، أقوم باستنشاق جميع الحزم التي ترسلها. لذلك قبل أن تصل الحزمة إلى https من شبكة http الخاصة بك ، سأحصل على كلمة المرور الخاصة بك والتي ستجعل النظام بأكمله عرضة للخطر
يرجى إلقاء نظرة عليه

ashishpilania18 picture ashishpilania18 في ١١ مارس ٢٠٢٠

مرحبًا @ ashishpilania18 ،

لا ، هذا غير ممكن مع كيف يعمل HTTPS ، الاستنشاق في المنتصف يعني أنه يجب أن يكون لديك المفتاح الخاص لخادم API Manager ، أليس كذلك؟

tmkasun picture tmkasun في ١٣ مارس ٢٠٢٠

تضمين التغريدة

لأسباب أمنية ، وضعنا التطبيق الخاص بك على WAF ، ونتيجة لذلك يمكن بسهولة عرض كلمة المرور عبر WAF. لذا لتجنب ذلك ، طلبنا تجزئة كلمة المرور عبر TLS. الرجاء المساعدة واقتراح أي طريقة لتنفيذ ذلك في نهايتنا.

ashishpilania18 picture ashishpilania18 في ١٣ مارس ٢٠٢٠

تضمين التغريدة

الرجاء المساعدة في هذا الصدد واقتراح أي تغيير يمكننا القيام به في نهايتنا وتحقيقه

ashishpilania18 picture ashishpilania18 في ١٩ مارس ٢٠٢٠
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

kharsha64 picture kharsha64  ·  8تعليقات
rmsamitha picture rmsamitha  ·  4تعليقات
Thangthanh picture Thangthanh  ·  3تعليقات
HiranyaKavishani picture HiranyaKavishani  ·  5تعليقات
YannickB picture YannickB  ·  25تعليقات