Product-apim: Le mot de passe circule en texte brut lors de la connexion à APIM
La description:
Le mot de passe circule en texte brut lorsque l'utilisateur se connecte à tous les modules dans APIM
Étapes à reproduire :
- Connectez-vous à https://localhost :9443/publisher tout en activant le mode inspection dans le navigateur
Une fois connecté, veuillez vérifier que les données du formulaire dans l'onglet En-tête s'affichent en texte brut
Alors que selon OWASP A3-Sensitive Data Exposure, le mot de passe ne peut pas voyager au format texte brut et il devrait être évité en suivant
- Chiffrez toutes les données en transit avec des protocoles sécurisés tels que TLS avec des chiffrements PFS (Perfect Forward Secrecy), une hiérarchisation des chiffrements par le serveur et des paramètres sécurisés. Appliquez le chiffrement à l'aide de directives telles que HTTP Strict Transport Security (HSTS).
- Désactivez la mise en cache des réponses contenant des données sensibles.
- Stockez les mots de passe à l'aide de fonctions de hachage adaptatives et salées puissantes avec un facteur de travail (facteur de retard), comme Argon2, scrypt, bcrypt ou PBKDF2.
Veuillez l'examiner et aider car c'est la principale préoccupation et pouvons-nous l'inclure dans la version finale de 3.1. Ce sera très apprécié.
Version du produit concerné :
Toutes les versions d'APIM
Détails de l'environnement (avec versions) :
- Système d'exploitation : fenêtre 10
ashishpilania18
Tous les 7 commentaires
@ashishpilania18 Je ne vois pas de problème ici. L'onglet Réseau du navigateur est censé vous montrer les valeurs en texte brut du formulaire que vous soumettez. Si vous utilisez https formulaire sera crypté lors de sa transmission sur le fil (lors de la sortie du navigateur).
praminda
le 11 mars 2020
@praminda
Je suis compris, mais conformément aux directives de sécurité de l'OWASP, il doit être crypté avant d'être envoyé via https du côté client. Ainsi, du côté client, personne ne peut voir le mot de passe.
ashishpilania18
le 11 mars 2020
J'ai toujours des inquiétudes quant à la façon dont un tiers peut exploiter cela. Quoi qu'il en soit, puisqu'il s'agit d'un problème lié à la sécurité, pouvez-vous signaler ce problème conformément à la politique de sécurité du projet à l' adresse https://github.com/wso2/product-apim/security/policy
praminda
le 11 mars 2020
@praminda
Par exemple, j'avais mis un renifleur dans votre réseau et pendant que vous vous connectez, je renifle tous vos paquets que vous envoyez. Donc, avant que le paquet n'atteigne https depuis votre réseau http, j'aurai votre mot de passe et ce qui rendra le système complet vulnérable
Veuillez y jeter un œil
ashishpilania18
le 11 mars 2020
Salut @ashishpilania18 ,
Non ce n'est pas possible avec Comment fonctionne HTTPS , renifler au milieu signifie que vous devriez avoir la clé privée du serveur API Manager n'est-ce pas ?
tmkasun
le 13 mars 2020
@tmkasun
Pour des raisons de sécurité, nous avons placé votre application sur WAF et, grâce à cela, vous pouvez facilement afficher le mot de passe sur WAF. Ainsi, pour éviter cela, nous avons requis le hachage du mot de passe sur TLS. S'il vous plaît aider et suggérer une méthode pour mettre en œuvre cela de notre côté.
ashishpilania18
le 13 mars 2020
@tmkasun
S'il vous plaît aider à cet égard et suggérer tout changement que nous pouvons faire de notre côté et y arriver
ashishpilania18
le 19 mars 2020
Questions connexes
okhuz
·
8Commentaires
kharsha64
·
8Commentaires
Thangthanh
·
3Commentaires
HiranyaKavishani
·
5Commentaires
malinthaprasan
·
6Commentaires
Commentaire le plus utile
@ashishpilania18 Je ne vois pas de problème ici. L'onglet Réseau du navigateur est censé vous montrer les valeurs en texte brut du formulaire que vous soumettez. Si vous utilisez
httpsformulaire sera crypté lors de sa transmission sur le fil (lors de la sortie du navigateur).