Product-apim: 登录 APIM 时密码以纯文本形式流动

创建于 2020-03-11  ·  7评论  ·  资料来源: wso2/product-apim

描述:


当用户登录 APIM 中的所有模块时,密码以纯文本形式流动

重现步骤:

  1. 在浏览器中打开检查模式时登录https://localhost :9443/publisher

登录后,请检查标题选项卡中的表单数据密码是否以纯文本形式显示

image

而根据 OWASP A3-Sensitive Data Exposure ,密码不能以纯文本格式传输,应该通过以下方式防止

  1. 使用安全协议(例如具有完美前向保密 (PFS) 密码的 TLS、服务器的密码优先级和安全参数)加密所有传输中的数据。 使用 HTTP 严格传输安全 (HSTS) 等指令强制加密。
  2. 对包含敏感数据的响应禁用缓存。
  3. 使用具有工作因子(延迟因子)的强自适应和加盐散列函数存储密码,例如 Argon2、scrypt、bcrypt 或 PBKDF2。

请研究它并提供帮助,因为这是主要问题,我们能否将其包含在 3.1 的最终版本中。 将不胜感激。

受影响的产品版本:


所有版本的 APIM

环境详细信息(带版本):

  • 操作系统:窗口 10
PrioritNormal TypBug
资料来源
picture ashishpilania18

最有用的评论

@ashishpilania18我在这里没有看到问题。 浏览器网络选项卡应该向您显示您提交的表单的纯文本值。 如果您使用的是https表格,当它在线传输时(离开浏览器时)将被加密。

picture praminda 于 2020-03-11
👍4 👎1

所有7条评论

@ashishpilania18我在这里没有看到问题。 浏览器网络选项卡应该向您显示您提交的表单的纯文本值。 如果您使用的是https表格,当它在线传输时(离开浏览器时)将被加密。

praminda picture praminda 于 2020-03-11
👍4 👎1

@praminda
我理解,但根据 OWASP 的安全指南,在客户端通过 https 发送之前应该对其进行加密,因此在客户端也没有人可以看到密码。

ashishpilania18 picture ashishpilania18 于 2020-03-11

我仍然担心第三方如何利用这一点。 无论如何,由于这是一个与安全相关的问题,您能否根据https://github.com/wso2/product-apim/security/policy 上的项目安全策略报告此问题

praminda picture praminda 于 2020-03-11

@praminda
例如,我在您的网络中放置了一个嗅探器,当您登录时,我正在嗅探您发送的所有数据包。 因此,在数据包从您的 http 网络到达 https 之前,我将拥有您的密码,这将使整个系统容易受到攻击
请看一看

ashishpilania18 picture ashishpilania18 于 2020-03-11

@ashishpilania18

不, HTTPS

tmkasun picture tmkasun 于 2020-03-13

@tmkasun

出于安全原因,我们将您的应用程序放在 WAF 上,因此可以轻松地通过 WAF 查看密码。因此,为了避免这种情况,我们需要通过 TLS 进行密码散列。 请帮助并建议我们最后实现这一点的任何方法。

ashishpilania18 picture ashishpilania18 于 2020-03-13

@tmkasun

请在这方面提供帮助,并建议我们最终可以做的任何更改并使其发生

ashishpilania18 picture ashishpilania18 于 2020-03-19
此页面是否有帮助?
0 / 5 - 0 等级

相关问题

akurathimohan picture akurathimohan  ·  3评论
rmsamitha picture rmsamitha  ·  4评论
HiranyaKavishani picture HiranyaKavishani  ·  5评论
malinthaprasan picture malinthaprasan  ·  6评论
YannickB picture YannickB  ·  25评论