تتدفق كلمة المرور بنص عادي عند قيام المستخدم بتسجيل الدخول إلى كل الوحدات النمطية في APIM
بمجرد تسجيل الدخول ، يرجى التحقق من بيانات النموذج في علامة التبويب "رأس الصفحة" تظهر كلمة مرور في نص عادي
بينما وفقًا لـ OWASP A3-Sensitive Data Exposure ، لا يمكن أن تنتقل كلمة المرور بتنسيق نص عادي ويجب منعها باتباع
يرجى النظر في الأمر والمساعدة لأن هذا هو الشاغل الرئيسي ويمكننا تضمين هذا في الإصدار النهائي من 3.1. وسوف أكون ممتنا للغاية .
كافة إصدارات APIM
@ ashishpilania18 لا أرى مشكلة هنا. من المفترض أن تعرض علامة التبويب "شبكة المتصفح" قيم النص العادي للنموذج الذي ترسله. إذا كنت تستخدم نموذج https
فسيتم تشفيره عند إرساله عبر السلك (عند الخروج من المتصفح).
تضمين التغريدة
أنا مفهومة ولكن وفقًا لإرشادات الأمان من OWASP ، يجب تشفيرها قبل إرسالها عبر https في نهاية العميل ، لذلك في نهاية العميل أيضًا لا يمكن لأي شخص رؤية كلمة المرور.
لا يزال لدي مخاوف بشأن كيفية استغلال طرف ثالث لهذا. على أي حال ، نظرًا لأن هذه مشكلة متعلقة بالأمان ، يمكنك الإبلاغ عن هذه المشكلة وفقًا لسياسة أمان المشروع على https://github.com/wso2/product-apim/security/policy
تضمين التغريدة
على سبيل المثال ، قمت بوضع متشمم واحد في شبكتك وأثناء قيامك بتسجيل الدخول ، أقوم باستنشاق جميع الحزم التي ترسلها. لذلك قبل أن تصل الحزمة إلى https من شبكة http الخاصة بك ، سأحصل على كلمة المرور الخاصة بك والتي ستجعل النظام بأكمله عرضة للخطر
يرجى إلقاء نظرة عليه
مرحبًا @ ashishpilania18 ،
لا ، هذا غير ممكن مع كيف يعمل HTTPS ، الاستنشاق في المنتصف يعني أنه يجب أن يكون لديك المفتاح الخاص لخادم API Manager ، أليس كذلك؟
تضمين التغريدة
لأسباب أمنية ، وضعنا التطبيق الخاص بك على WAF ، ونتيجة لذلك يمكن بسهولة عرض كلمة المرور عبر WAF. لذا لتجنب ذلك ، طلبنا تجزئة كلمة المرور عبر TLS. الرجاء المساعدة واقتراح أي طريقة لتنفيذ ذلك في نهايتنا.
تضمين التغريدة
الرجاء المساعدة في هذا الصدد واقتراح أي تغيير يمكننا القيام به في نهايتنا وتحقيقه
التعليق الأكثر فائدة
@ ashishpilania18 لا أرى مشكلة هنا. من المفترض أن تعرض علامة التبويب "شبكة المتصفح" قيم النص العادي للنموذج الذي ترسله. إذا كنت تستخدم نموذج
https
فسيتم تشفيره عند إرساله عبر السلك (عند الخروج من المتصفح).