Product-apim: APIM에 로그인하는 동안 비밀번호가 일반 텍스트로 흐릅니다.

에 만든 2020년 03월 11일 · 7코멘트 · 출처: wso2/product-apim

사용자가 APIM의 모든 모듈에 로그인할 때 암호가 일반 텍스트로 흐릅니다.

로그인하면 헤더 탭의 양식 데이터가 일반 텍스트로 표시되는지 확인하십시오.

OWASP A3-Sensitive Data Exposure에 따르면 암호는 일반 텍스트 형식으로 이동할 수 없으며 다음을 수행하여 방지해야 합니다.

PFS(완벽한 순방향 비밀) 암호를 사용하는 TLS, 서버에 의한 암호 우선 순위 지정, 보안 매개변수와 같은 보안 프로토콜을 사용하여 전송 중인 모든 데이터를 암호화합니다. HSTS(HTTP Strict Transport Security)와 같은 지시문을 사용하여 암호화를 시행합니다.
민감한 데이터가 포함된 응답에 대해 캐싱을 비활성화합니다.
Argon2, scrypt, bcrypt 또는 PBKDF2와 같은 작업 요소(지연 요소)가 있는 강력한 적응형 및 솔티드 해싱 기능을 사용하여 암호를 저장합니다.

이것이 주요 관심사이고 3.1의 최종 버전에 이를 포함할 수 있으므로 살펴보고 도와주세요. 그것은 높게 평가될 것입니다.

APIM의 모든 버전

PrioritNormal TypBug

출처

ashishpilania18

가장 유용한 댓글

@ashishpilania18 여기에 문제가 보이지 않습니다. 브라우저 네트워크 탭에는 제출하는 양식의 일반 텍스트 값이 표시됩니다. https 를 사용하는 경우 유선으로 전송할 때(브라우저에서 나갈 때) 형식이 암호화됩니다.

praminda 에 2020년 03월 11일

👍4 👎1

praminda 에 2020년 03월 11일

👍4 👎1

@프라민다
나는 이해하지만 OWASP의 보안 지침에 따라 클라이언트 측에서 https를 보내기 전에 암호화해야 하므로 클라이언트 측에서도 아무도 비밀번호를 볼 수 없습니다.

ashishpilania18 에 2020년 03월 11일

제 3자가 이를 악용할 수 있는 방법에 대한 우려가 여전히 있습니다. 어쨌든 이것은 보안 관련 문제이므로 https://github.com/wso2/product-apim/security/policy 에서 프로젝트 보안 정책에 따라 이 문제를 보고할 수 있습니다.

praminda 에 2020년 03월 11일

@프라민다
예를 들어 네트워크에 스니퍼 한 명을 넣었고 로그인하는 동안 보내는 모든 패킷을 스니핑하고 있습니다. 따라서 패킷이 http 네트워크에서 https를 통해 도달하기 전에 암호를 알고 전체 시스템을 취약하게 만듭니다.
좀 봐주세요

ashishpilania18 에 2020년 03월 11일

안녕하세요 @ashishpilania18 ,

HTTPS 작동 방식 에서는 불가능합니다. 중간에 스니핑을 하면 API Manager 서버의 개인 키가 있어야 하지 않습니까?

tmkasun 에 2020년 03월 13일

@tmkasun

보안상의 이유로 우리는 귀하의 응용 프로그램을 WAF를 통해 배치했으며 이로 인해 WAF를 통해 암호를 쉽게 볼 수 있습니다. 이를 피하기 위해 TLS를 통한 암호 해싱이 필요했습니다. 저희 쪽에서 이것을 구현하는 방법을 제안하고 도와주세요.

ashishpilania18 에 2020년 03월 13일

@tmkasun

이와 관련하여 도움을 주시고 우리가 할 수 있는 모든 변경 사항을 제안하고 실현하도록 하십시오.

ashishpilania18 에 2020년 03월 19일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급