当用户登录 APIM 中的所有模块时,密码以纯文本形式流动
登录后,请检查标题选项卡中的表单数据密码是否以纯文本形式显示
而根据 OWASP A3-Sensitive Data Exposure ,密码不能以纯文本格式传输,应该通过以下方式防止
请研究它并提供帮助,因为这是主要问题,我们能否将其包含在 3.1 的最终版本中。 将不胜感激。
所有版本的 APIM
@ashishpilania18我在这里没有看到问题。 浏览器网络选项卡应该向您显示您提交的表单的纯文本值。 如果您使用的是https
表格,当它在线传输时(离开浏览器时)将被加密。
@praminda
我理解,但根据 OWASP 的安全指南,在客户端通过 https 发送之前应该对其进行加密,因此在客户端也没有人可以看到密码。
我仍然担心第三方如何利用这一点。 无论如何,由于这是一个与安全相关的问题,您能否根据https://github.com/wso2/product-apim/security/policy 上的项目安全策略报告此问题
@praminda
例如,我在您的网络中放置了一个嗅探器,当您登录时,我正在嗅探您发送的所有数据包。 因此,在数据包从您的 http 网络到达 https 之前,我将拥有您的密码,这将使整个系统容易受到攻击
请看一看
嗨@ashishpilania18 ,
不, HTTPS是
@tmkasun
出于安全原因,我们将您的应用程序放在 WAF 上,因此可以轻松地通过 WAF 查看密码。因此,为了避免这种情况,我们需要通过 TLS 进行密码散列。 请帮助并建议我们最后实现这一点的任何方法。
@tmkasun
请在这方面提供帮助,并建议我们最终可以做的任何更改并使其发生
最有用的评论
@ashishpilania18我在这里没有看到问题。 浏览器网络选项卡应该向您显示您提交的表单的纯文本值。 如果您使用的是
https
表格,当它在线传输时(离开浏览器时)将被加密。