Das Passwort fließt im Klartext, wenn sich der Benutzer bei allen Modulen in APIM anmeldet
Sobald Sie sich angemeldet haben, überprüfen Sie bitte, ob die Formulardaten im Header-Tab-Passwort im Klartext angezeigt werden
Laut OWASP A3-Sensitive Data Exposure kann das Passwort nicht im Nur-Text-Format übertragen werden und sollte durch folgendes verhindert werden
Bitte sehen Sie sich das an und helfen Sie, da dies das Hauptanliegen ist und wir dies in die endgültige Version von 3.1 aufnehmen können. Es wird sehr geschätzt .
Alle Versionen von APIM
@ashishpilania18 Ich sehe hier kein Problem. Die Registerkarte "Browser-Netzwerk" soll Ihnen die Klartextwerte des Formulars anzeigen, das Sie senden. Wenn Sie https
, wird das Formular verschlüsselt, wenn es auf der Leitung übertragen wird (beim Verlassen des Browsers).
@praminda
Ich werde verstanden, aber gemäß den Sicherheitsrichtlinien von OWASP sollte es vor dem Senden über https auf Client-Seite verschlüsselt werden, damit auch auf Client-Seite niemand das Passwort sehen kann.
Ich habe immer noch meine Bedenken, wie ein Dritter dies ausnutzen kann. Wie auch immer, da es sich um ein sicherheitsbezogenes Problem handelt, können Sie dieses Problem bitte gemäß der Projektsicherheitsrichtlinie unter https://github.com/wso2/product-apim/security/policy melden
@praminda
Zum Beispiel hatte ich einen Sniffer in Ihr Netzwerk eingebaut und während Sie sich einloggen, schnüffele ich alle Ihre Pakete, die Sie senden. Bevor das Paket von Ihrem http-Netzwerk über https gelangt, habe ich Ihr Passwort und das macht das gesamte System angreifbar
Bitte schaut rein
Hallo @ashishpilania18 ,
Nein, das ist mit HTTPS nicht möglich. Sniffing in der Mitte bedeutet, dass Sie den privaten Schlüssel des API Manager-Servers haben sollten, nicht wahr?
@tmkasun
Aus Sicherheitsgründen hatten wir Ihre Anwendung über WAF gestellt, und so kann man das Passwort problemlos über WAF einsehen. Um dies zu vermeiden, benötigten wir Passwort-Hashing über TLS. Bitte helfen Sie mit und schlagen Sie eine Methode vor, um dies an unserem Ende zu implementieren.
@tmkasun
Bitte helfen Sie in dieser Hinsicht und schlagen Sie jede Änderung vor, die wir an unserem Ende vornehmen und umsetzen können
Hilfreichster Kommentar
@ashishpilania18 Ich sehe hier kein Problem. Die Registerkarte "Browser-Netzwerk" soll Ihnen die Klartextwerte des Formulars anzeigen, das Sie senden. Wenn Sie
https
, wird das Formular verschlüsselt, wenn es auf der Leitung übertragen wird (beim Verlassen des Browsers).