Product-apim: La contraseña fluye en texto sin formato al iniciar sesión en APIM
Descripción:
La contraseña fluye en texto sin formato cuando el usuario inicia sesión en todos los módulos en APIM
Pasos para reproducir:
- Inicie sesión en https: // localhost : 9443 / publisher mientras activa el modo de inspección en el navegador
Una vez que inicie sesión, verifique los datos del formulario en la pestaña Encabezado, la contraseña se muestra en texto sin formato
Si bien de acuerdo con OWASP A3-Sensitive Data Exposure, la contraseña no puede viajar en formato de texto sin formato y debe evitarse siguiendo
- Cifre todos los datos en tránsito con protocolos seguros como TLS con cifrado de secreto directo perfecto (PFS), priorización de cifrado por parte del servidor y parámetros seguros. Aplique el cifrado mediante directivas como HTTP Strict Transport Security (HSTS).
- Deshabilite el almacenamiento en caché para respuestas que contengan datos confidenciales.
- Almacene las contraseñas utilizando fuertes funciones de hash adaptativas y saladas con un factor de trabajo (factor de retraso), como Argon2, scrypt, bcrypt o PBKDF2.
Míralo y ayúdanos, ya que esta es la principal preocupación y podemos incluir esto en la versión final de 3.1. Será muy apreciado .
Versión del producto afectada:
Todas las versiones de APIM
Detalles del entorno (con versiones):
- SO: Ventana 10
ashishpilania18
Todos 7 comentarios
@ ashishpilania18 No veo ningún problema aquí. Se supone que la pestaña Red del navegador le muestra los valores de texto sin formato del formulario que está enviando. Si está utilizando https formulario
praminda
en 11 mar. 2020
@praminda
Me entienden, pero según las pautas de seguridad de OWASP, debe estar encriptado antes de enviar https en el extremo del cliente, por lo que en el extremo del cliente tampoco nadie puede ver la contraseña.
ashishpilania18
en 11 mar. 2020
Todavía tengo mis preocupaciones sobre cómo un tercero puede explotar esto. De todos modos, dado que se trata de un problema relacionado con la seguridad, ¿puede informar este problema de acuerdo con la política de seguridad del proyecto en https://github.com/wso2/product-apim/security/policy?
praminda
en 11 mar. 2020
@praminda
Por ejemplo, puse un rastreador en su red y mientras está iniciando sesión, estoy rastreando todos los paquetes que está enviando. Entonces, antes de que el paquete llegue a https desde su red http, tendré su contraseña y hará que el sistema completo sea vulnerable.
Por favor échale un vistazo
ashishpilania18
en 11 mar. 2020
Hola @ ashishpilania18 ,
No, eso no es posible con Cómo funciona HTTPS , rastrear en el medio significa que debe tener la clave privada del servidor de API Manager, ¿no es así?
tmkasun
en 13 mar. 2020
@tmkasun
Por razones de seguridad, pusimos su aplicación en WAF, y debido a esto, puede ver fácilmente la contraseña en WAF. Por lo tanto, para evitar esto, solicitamos el hash de contraseña en TLS. Por favor ayude y sugiera cualquier método para implementar esto por nuestra parte.
ashishpilania18
en 13 mar. 2020
@tmkasun
Por favor, ayude en este sentido y sugiera cualquier cambio que podamos hacer por nuestra parte y hacer que suceda.
ashishpilania18
en 19 mar. 2020
Temas relacionados
isharac
·
11Comentarios
HiranyaKavishani
·
5Comentarios
akurathimohan
·
3Comentarios
kharsha64
·
8Comentarios
Thangthanh
·
3Comentarios
Comentario más útil
@ ashishpilania18 No veo ningún problema aquí. Se supone que la pestaña Red del navegador le muestra los valores de texto sin formato del formulario que está enviando. Si está utilizando
httpsformulario