La contraseña fluye en texto sin formato cuando el usuario inicia sesión en todos los módulos en APIM
Una vez que inicie sesión, verifique los datos del formulario en la pestaña Encabezado, la contraseña se muestra en texto sin formato
Si bien de acuerdo con OWASP A3-Sensitive Data Exposure, la contraseña no puede viajar en formato de texto sin formato y debe evitarse siguiendo
Míralo y ayúdanos, ya que esta es la principal preocupación y podemos incluir esto en la versión final de 3.1. Será muy apreciado .
Todas las versiones de APIM
@ ashishpilania18 No veo ningún problema aquí. Se supone que la pestaña Red del navegador le muestra los valores de texto sin formato del formulario que está enviando. Si está utilizando https
formulario
@praminda
Me entienden, pero según las pautas de seguridad de OWASP, debe estar encriptado antes de enviar https en el extremo del cliente, por lo que en el extremo del cliente tampoco nadie puede ver la contraseña.
Todavía tengo mis preocupaciones sobre cómo un tercero puede explotar esto. De todos modos, dado que se trata de un problema relacionado con la seguridad, ¿puede informar este problema de acuerdo con la política de seguridad del proyecto en https://github.com/wso2/product-apim/security/policy?
@praminda
Por ejemplo, puse un rastreador en su red y mientras está iniciando sesión, estoy rastreando todos los paquetes que está enviando. Entonces, antes de que el paquete llegue a https desde su red http, tendré su contraseña y hará que el sistema completo sea vulnerable.
Por favor échale un vistazo
Hola @ ashishpilania18 ,
No, eso no es posible con Cómo funciona HTTPS , rastrear en el medio significa que debe tener la clave privada del servidor de API Manager, ¿no es así?
@tmkasun
Por razones de seguridad, pusimos su aplicación en WAF, y debido a esto, puede ver fácilmente la contraseña en WAF. Por lo tanto, para evitar esto, solicitamos el hash de contraseña en TLS. Por favor ayude y sugiera cualquier método para implementar esto por nuestra parte.
@tmkasun
Por favor, ayude en este sentido y sugiera cualquier cambio que podamos hacer por nuestra parte y hacer que suceda.
Comentario más útil
@ ashishpilania18 No veo ningún problema aquí. Se supone que la pestaña Red del navegador le muestra los valores de texto sin formato del formulario que está enviando. Si está utilizando
https
formulario