Product-apim: Das Passwort fließt im Klartext, während Sie sich bei APIM anmelden
Beschreibung:
Das Passwort fließt im Klartext, wenn sich der Benutzer bei allen Modulen in APIM anmeldet
Schritte zum Reproduzieren:
- Melden Sie sich in https://localhost :9443/publisher an, während Sie den Inspektionsmodus im Browser aktivieren
Sobald Sie sich angemeldet haben, überprüfen Sie bitte, ob die Formulardaten im Header-Tab-Passwort im Klartext angezeigt werden
Laut OWASP A3-Sensitive Data Exposure kann das Passwort nicht im Nur-Text-Format übertragen werden und sollte durch folgendes verhindert werden
- Verschlüsseln Sie alle Daten während der Übertragung mit sicheren Protokollen wie TLS mit Perfect Forward Secrecy (PFS)-Chiffren, Verschlüsselungspriorisierung durch den Server und sicheren Parametern. Erzwingen Sie die Verschlüsselung mit Anweisungen wie HTTP Strict Transport Security (HSTS).
- Deaktivieren Sie das Caching für Antworten, die vertrauliche Daten enthalten.
- Speichern Sie Passwörter mit starken adaptiven und gesalzenen Hashing-Funktionen mit einem Arbeitsfaktor (Verzögerungsfaktor), wie Argon2, scrypt, bcrypt oder PBKDF2.
Bitte sehen Sie sich das an und helfen Sie, da dies das Hauptanliegen ist und wir dies in die endgültige Version von 3.1 aufnehmen können. Es wird sehr geschätzt .
Betroffene Produktversion:
Alle Versionen von APIM
Umgebungsdetails (mit Versionen):
- Betriebssystem: Windows 10
ashishpilania18
Alle 7 Kommentare
@ashishpilania18 Ich sehe hier kein Problem. Die Registerkarte "Browser-Netzwerk" soll Ihnen die Klartextwerte des Formulars anzeigen, das Sie senden. Wenn Sie https , wird das Formular verschlüsselt, wenn es auf der Leitung übertragen wird (beim Verlassen des Browsers).
praminda
am 11. März 2020
@praminda
Ich werde verstanden, aber gemäß den Sicherheitsrichtlinien von OWASP sollte es vor dem Senden über https auf Client-Seite verschlüsselt werden, damit auch auf Client-Seite niemand das Passwort sehen kann.
ashishpilania18
am 11. März 2020
Ich habe immer noch meine Bedenken, wie ein Dritter dies ausnutzen kann. Wie auch immer, da es sich um ein sicherheitsbezogenes Problem handelt, können Sie dieses Problem bitte gemäß der Projektsicherheitsrichtlinie unter https://github.com/wso2/product-apim/security/policy melden
praminda
am 11. März 2020
@praminda
Zum Beispiel hatte ich einen Sniffer in Ihr Netzwerk eingebaut und während Sie sich einloggen, schnüffele ich alle Ihre Pakete, die Sie senden. Bevor das Paket von Ihrem http-Netzwerk über https gelangt, habe ich Ihr Passwort und das macht das gesamte System angreifbar
Bitte schaut rein
ashishpilania18
am 11. März 2020
Hallo @ashishpilania18 ,
Nein, das ist mit HTTPS nicht möglich. Sniffing in der Mitte bedeutet, dass Sie den privaten Schlüssel des API Manager-Servers haben sollten, nicht wahr?
tmkasun
am 13. März 2020
@tmkasun
Aus Sicherheitsgründen hatten wir Ihre Anwendung über WAF gestellt, und so kann man das Passwort problemlos über WAF einsehen. Um dies zu vermeiden, benötigten wir Passwort-Hashing über TLS. Bitte helfen Sie mit und schlagen Sie eine Methode vor, um dies an unserem Ende zu implementieren.
ashishpilania18
am 13. März 2020
@tmkasun
Bitte helfen Sie in dieser Hinsicht und schlagen Sie jede Änderung vor, die wir an unserem Ende vornehmen und umsetzen können
ashishpilania18
am 19. März 2020
Verwandte Themen
markokocic
·
10Kommentare
Thangthanh
·
3Kommentare
molinab297-unisys
·
6Kommentare
okhuz
·
8Kommentare
rmsamitha
·
4Kommentare
Hilfreichster Kommentar
@ashishpilania18 Ich sehe hier kein Problem. Die Registerkarte "Browser-Netzwerk" soll Ihnen die Klartextwerte des Formulars anzeigen, das Sie senden. Wenn Sie
https, wird das Formular verschlüsselt, wenn es auf der Leitung übertragen wird (beim Verlassen des Browsers).