Le mot de passe circule en texte brut lorsque l'utilisateur se connecte à tous les modules dans APIM
Une fois connecté, veuillez vérifier que les données du formulaire dans l'onglet En-tête s'affichent en texte brut
Alors que selon OWASP A3-Sensitive Data Exposure, le mot de passe ne peut pas voyager au format texte brut et il devrait être évité en suivant
Veuillez l'examiner et aider car c'est la principale préoccupation et pouvons-nous l'inclure dans la version finale de 3.1. Ce sera très apprécié.
Toutes les versions d'APIM
@ashishpilania18 Je ne vois pas de problème ici. L'onglet Réseau du navigateur est censé vous montrer les valeurs en texte brut du formulaire que vous soumettez. Si vous utilisez https
formulaire sera crypté lors de sa transmission sur le fil (lors de la sortie du navigateur).
@praminda
Je suis compris, mais conformément aux directives de sécurité de l'OWASP, il doit être crypté avant d'être envoyé via https du côté client. Ainsi, du côté client, personne ne peut voir le mot de passe.
J'ai toujours des inquiétudes quant à la façon dont un tiers peut exploiter cela. Quoi qu'il en soit, puisqu'il s'agit d'un problème lié à la sécurité, pouvez-vous signaler ce problème conformément à la politique de sécurité du projet à l' adresse https://github.com/wso2/product-apim/security/policy
@praminda
Par exemple, j'avais mis un renifleur dans votre réseau et pendant que vous vous connectez, je renifle tous vos paquets que vous envoyez. Donc, avant que le paquet n'atteigne https depuis votre réseau http, j'aurai votre mot de passe et ce qui rendra le système complet vulnérable
Veuillez y jeter un œil
Salut @ashishpilania18 ,
Non ce n'est pas possible avec Comment fonctionne HTTPS , renifler au milieu signifie que vous devriez avoir la clé privée du serveur API Manager n'est-ce pas ?
@tmkasun
Pour des raisons de sécurité, nous avons placé votre application sur WAF et, grâce à cela, vous pouvez facilement afficher le mot de passe sur WAF. Ainsi, pour éviter cela, nous avons requis le hachage du mot de passe sur TLS. S'il vous plaît aider et suggérer une méthode pour mettre en œuvre cela de notre côté.
@tmkasun
S'il vous plaît aider à cet égard et suggérer tout changement que nous pouvons faire de notre côté et y arriver
Commentaire le plus utile
@ashishpilania18 Je ne vois pas de problème ici. L'onglet Réseau du navigateur est censé vous montrer les valeurs en texte brut du formulaire que vous soumettez. Si vous utilisez
https
formulaire sera crypté lors de sa transmission sur le fil (lors de la sortie du navigateur).