ユーザーがAPIMのすべてのモジュールにログインすると、パスワードがプレーンテキストで流れます
ログインしたら、ヘッダータブのフォームデータを確認してくださいパスワードがプレーンテキストで表示されている
OWASP A3-Sensitive Data Exposureによると、パスワードはプレーンテキスト形式で送信できないため、次の方法で防止する必要があります。
これが主要な懸念事項であり、3.1の最終バージョンにこれを含めることができるので、それを調べて助けてください。 高く評価されます。
APIMのすべてのバージョン
@ ashishpilania18ここでは問題はありません。 [ブラウザネットワーク]タブには、送信するフォームのプレーンテキスト値が表示されるはずです。 https
を使用している場合、フォームはネットワーク上で送信されるときに暗号化されます(ブラウザーから出るとき)。
@praminda
私は理解していますが、OWASPのセキュリティガイドラインに従って、クライアント側でhttpsを介して送信する前に暗号化する必要があるため、クライアント側でも誰もパスワードを見ることができません。
サードパーティがこれをどのように悪用できるかについては、まだ懸念があります。 とにかく、これはセキュリティ関連の問題なので、 https://github.com/wso2/product-apim/security/policyでプロジェクトのセキュリティポリシーに従ってこの問題を報告して
@praminda
たとえば、私はあなたのネットワークに1つのスニファを配置し、あなたがログインしている間、私はあなたが送信しているすべてのパケットをスニッフィングしています。 したがって、パケットがhttpネットワークからhttps経由で到達する前に、パスワードを取得します。これにより、システム全体が脆弱になります。
ご覧ください
こんにちは@ ashishpilania18 、
いいえ、 HTTPSの仕組みでは不可能です。途中でスニッフィングすると、APIManagerサーバーの秘密鍵が必要になりますね。
@tmkasun
セキュリティ上の理由から、アプリケーションをWAFに配置しました。このため、WAFを介してパスワードを簡単に表示できます。これを回避するには、TLSを介したパスワードハッシュが必要でした。 私たちの最後でこれを実装するための方法を助けて提案してください。
@tmkasun
この点で助けて、私たちが最後にそれを行うことができる変更を提案し、それを実現させてください
最も参考になるコメント
@ ashishpilania18ここでは問題はありません。 [ブラウザネットワーク]タブには、送信するフォームのプレーンテキスト値が表示されるはずです。
https
を使用している場合、フォームはネットワーク上で送信されるときに暗号化されます(ブラウザーから出るとき)。