説明:
ユーザーがAPIMのすべてのモジュールにログインすると、パスワードがプレーンテキストで流れます
再現する手順:
- ブラウザで検査モードをオンにしながら、 https:// localhost :9443 / publisherにログインし
ログインしたら、ヘッダータブのフォームデータを確認してくださいパスワードがプレーンテキストで表示されている
OWASP A3-Sensitive Data Exposureによると、パスワードはプレーンテキスト形式で送信できないため、次の方法で防止する必要があります。
- 転送中のすべてのデータを、完全転送秘密(PFS)暗号を使用したTLS、サーバーによる暗号の優先順位付け、安全なパラメーターなどの安全なプロトコルで暗号化します。 HTTP Strict Transport Security(HSTS)などのディレクティブを使用して暗号化を適用します。
- 機密データを含む応答のキャッシュを無効にします。
- Argon2、scrypt、bcrypt、PBKDF2などの作業係数(遅延係数)を備えた強力な適応型およびソルトハッシュ関数を使用してパスワードを保存します。
これが主要な懸念事項であり、3.1の最終バージョンにこれを含めることができるので、それを調べて助けてください。 高く評価されます。
影響を受ける製品バージョン:
APIMのすべてのバージョン
環境の詳細(バージョンあり):
- OS:ウィンドウ10
ashishpilania18
全てのコメント7件
@ ashishpilania18ここでは問題はありません。 [ブラウザネットワーク]タブには、送信するフォームのプレーンテキスト値が表示されるはずです。 httpsを使用している場合、フォームはネットワーク上で送信されるときに暗号化されます(ブラウザーから出るとき)。
praminda
2020年03月11日
@praminda
私は理解していますが、OWASPのセキュリティガイドラインに従って、クライアント側でhttpsを介して送信する前に暗号化する必要があるため、クライアント側でも誰もパスワードを見ることができません。
ashishpilania18
2020年03月11日
サードパーティがこれをどのように悪用できるかについては、まだ懸念があります。 とにかく、これはセキュリティ関連の問題なので、 https://github.com/wso2/product-apim/security/policyでプロジェクトのセキュリティポリシーに従ってこの問題を報告して
praminda
2020年03月11日
@praminda
たとえば、私はあなたのネットワークに1つのスニファを配置し、あなたがログインしている間、私はあなたが送信しているすべてのパケットをスニッフィングしています。 したがって、パケットがhttpネットワークからhttps経由で到達する前に、パスワードを取得します。これにより、システム全体が脆弱になります。
ご覧ください
ashishpilania18
2020年03月11日
こんにちは@ ashishpilania18 、
いいえ、 HTTPSの仕組みでは不可能です。途中でスニッフィングすると、APIManagerサーバーの秘密鍵が必要になりますね。
tmkasun
2020年03月13日
@tmkasun
セキュリティ上の理由から、アプリケーションをWAFに配置しました。このため、WAFを介してパスワードを簡単に表示できます。これを回避するには、TLSを介したパスワードハッシュが必要でした。 私たちの最後でこれを実装するための方法を助けて提案してください。
ashishpilania18
2020年03月13日
@tmkasun
この点で助けて、私たちが最後にそれを行うことができる変更を提案し、それを実現させてください
ashishpilania18
2020年03月19日
関連する問題
TomasTokaMrazek
·
10コメント
amir-dh
·
39コメント
YannickB
·
25コメント
malinthaprasan
·
6コメント
ruks
·
11コメント
最も参考になるコメント
@ ashishpilania18ここでは問題はありません。 [ブラウザネットワーク]タブには、送信するフォームのプレーンテキスト値が表示されるはずです。
httpsを使用している場合、フォームはネットワーク上で送信されるときに暗号化されます(ブラウザーから出るとき)。