Product-apim: Kata sandi mengalir dalam teks biasa saat masuk ke APIM
Keterangan:
Kata sandi Mengalir dalam teks biasa saat pengguna masuk ke semua modul di APIM
Langkah-langkah untuk mereproduksi:
- Login di https://localhost :9443/publisher sambil mengaktifkan mode inspeksi di browser
Setelah masuk, Silakan periksa data formulir di kata sandi tab Header ditampilkan dalam teks biasa
Sementara menurut Paparan Data Sensitif A3 OWASP, kata sandi tidak dapat berjalan dalam format teks biasa dan harus dicegah dengan mengikuti
- Enkripsi semua data dalam perjalanan dengan protokol aman seperti TLS dengan cipher perfect forward secrecy (PFS), prioritas cipher oleh server, dan parameter aman. Terapkan enkripsi menggunakan arahan seperti HTTP Strict Transport Security (HSTS).
- Nonaktifkan caching untuk respons yang berisi data sensitif.
- Simpan kata sandi menggunakan fungsi hashing adaptif dan salted yang kuat dengan faktor kerja (faktor penundaan), seperti Argon2, scrypt, bcrypt, atau PBKDF2.
Silakan lihat dan bantu karena ini adalah perhatian utama dan dapatkah kami memasukkan ini ke dalam versi final 3.1. Ini akan sangat dihargai.
Versi Produk yang Terpengaruh:
Semua Versi APIM
Detail lingkungan (dengan versi):
- OS: Jendela 10
ashishpilania18
Semua 7 komentar
@ashishpilania18 Saya tidak melihat masalah di sini. Tab Jaringan Browser seharusnya menunjukkan nilai teks biasa dari formulir yang Anda kirimkan. Jika Anda menggunakan https formulir akan dienkripsi saat dikirimkan melalui kabel (saat keluar dari browser).
praminda
pada 11 Mar 2020
@praminda
Saya mengerti tetapi sesuai pedoman keamanan oleh OWASP, itu harus dienkripsi sebelum mengirim melalui https di ujung klien, Jadi di ujung klien juga tidak ada yang bisa melihat kata sandinya.
ashishpilania18
pada 11 Mar 2020
Saya masih memiliki kekhawatiran tentang bagaimana pihak ketiga dapat mengeksploitasi ini. Bagaimanapun karena ini adalah masalah terkait keamanan, bisakah Anda melaporkan masalah ini sesuai dengan kebijakan keamanan proyek di https://github.com/wso2/product-apim/security/policy
praminda
pada 11 Mar 2020
@praminda
Misalnya saya telah menempatkan satu sniffer di jaringan Anda dan saat Anda login, saya mengendus semua paket yang Anda kirim. Jadi sebelum paket mencapai https dari jaringan http Anda, saya akan memiliki kata sandi Anda dan yang akan membuat sistem yang lengkap rentan
Silakan lihat ke dalamnya
ashishpilania18
pada 11 Mar 2020
Hai @ashishpilania18 ,
Tidak, itu tidak mungkin dengan Cara kerja HTTPS , mengendus di tengah berarti Anda harus memiliki kunci pribadi dari server Manajer API bukan?
tmkasun
pada 13 Mar 2020
@tmkasun
Untuk alasan keamanan, kami telah menempatkan aplikasi Anda melalui WAF, dan karena aplikasi ini dapat dengan mudah melihat kata sandi melalui WAF. Jadi untuk menghindari hal ini, Kami memerlukan hashing kata sandi melalui TLS. Tolong bantu dan sarankan metode apa pun untuk menerapkan ini di pihak kami.
ashishpilania18
pada 13 Mar 2020
@tmkasun
Tolong Bantu dalam hal ini dan sarankan perubahan apa pun yang dapat kami lakukan di pihak kami dan mewujudkannya
ashishpilania18
pada 19 Mar 2020
Masalah terkait
TomasTokaMrazek
·
10Komentar
HiranyaKavishani
·
5Komentar
malinthaprasan
·
6Komentar
rmsamitha
·
4Komentar
okhuz
·
8Komentar
Komentar yang paling membantu
@ashishpilania18 Saya tidak melihat masalah di sini. Tab Jaringan Browser seharusnya menunjukkan nilai teks biasa dari formulir yang Anda kirimkan. Jika Anda menggunakan
httpsformulir akan dienkripsi saat dikirimkan melalui kabel (saat keluar dari browser).