Kata sandi Mengalir dalam teks biasa saat pengguna masuk ke semua modul di APIM
Setelah masuk, Silakan periksa data formulir di kata sandi tab Header ditampilkan dalam teks biasa
Sementara menurut Paparan Data Sensitif A3 OWASP, kata sandi tidak dapat berjalan dalam format teks biasa dan harus dicegah dengan mengikuti
Silakan lihat dan bantu karena ini adalah perhatian utama dan dapatkah kami memasukkan ini ke dalam versi final 3.1. Ini akan sangat dihargai.
Semua Versi APIM
@ashishpilania18 Saya tidak melihat masalah di sini. Tab Jaringan Browser seharusnya menunjukkan nilai teks biasa dari formulir yang Anda kirimkan. Jika Anda menggunakan https
formulir akan dienkripsi saat dikirimkan melalui kabel (saat keluar dari browser).
@praminda
Saya mengerti tetapi sesuai pedoman keamanan oleh OWASP, itu harus dienkripsi sebelum mengirim melalui https di ujung klien, Jadi di ujung klien juga tidak ada yang bisa melihat kata sandinya.
Saya masih memiliki kekhawatiran tentang bagaimana pihak ketiga dapat mengeksploitasi ini. Bagaimanapun karena ini adalah masalah terkait keamanan, bisakah Anda melaporkan masalah ini sesuai dengan kebijakan keamanan proyek di https://github.com/wso2/product-apim/security/policy
@praminda
Misalnya saya telah menempatkan satu sniffer di jaringan Anda dan saat Anda login, saya mengendus semua paket yang Anda kirim. Jadi sebelum paket mencapai https dari jaringan http Anda, saya akan memiliki kata sandi Anda dan yang akan membuat sistem yang lengkap rentan
Silakan lihat ke dalamnya
Hai @ashishpilania18 ,
Tidak, itu tidak mungkin dengan Cara kerja HTTPS , mengendus di tengah berarti Anda harus memiliki kunci pribadi dari server Manajer API bukan?
@tmkasun
Untuk alasan keamanan, kami telah menempatkan aplikasi Anda melalui WAF, dan karena aplikasi ini dapat dengan mudah melihat kata sandi melalui WAF. Jadi untuk menghindari hal ini, Kami memerlukan hashing kata sandi melalui TLS. Tolong bantu dan sarankan metode apa pun untuk menerapkan ini di pihak kami.
@tmkasun
Tolong Bantu dalam hal ini dan sarankan perubahan apa pun yang dapat kami lakukan di pihak kami dan mewujudkannya
Komentar yang paling membantu
@ashishpilania18 Saya tidak melihat masalah di sini. Tab Jaringan Browser seharusnya menunjukkan nilai teks biasa dari formulir yang Anda kirimkan. Jika Anda menggunakan
https
formulir akan dienkripsi saat dikirimkan melalui kabel (saat keluar dari browser).